北京时间2021年8月19日10:05,日本加密交易平台Liquid称其热钱包遭到攻击。从官方发布的报告来看,Liquid交易平台上被盗币种涉及BTC、ETH、ERC20代币、TRX、TRC20代币、XRP等超70种,币种之多,数额之高,令人惊叹。
慢雾AML团队利用旗下MistTrack反追踪系统分析统计,Liquid共计损失约9,135万美元,包括约462万美元的BTC、3,216万美元的ETH、4,290万美元的ERC20代币、23万美元的TRX、160万美元的TRC20、1,093万美元的XRP。
慢雾AML团队全面追踪了各币种的资金流向情况,也还原了攻击者的洗币手法,接下来分几个部分向大家介绍。
BTC部分
攻击者相关地址
慢雾AML团队对被盗的BTC进行全盘追踪后发现,攻击者主要使用了“二分法”的洗币手法。所谓“二分法”,是指地址A将资金转到地址B和C,而转移到地址B的数额多数情况下是极小的,转移到地址C的数额占大部分,地址C又将资金转到D和E,依次类推,直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额,要么以二分法的方式继续转移,要么转到交易平台,要么停留在地址,要么通过Wasabi等混币平台混币后转出。
慢雾:PancakeBunny被黑是一次典型利用闪电贷操作价格的攻击:币安智能链上DeFi收益聚合器PancakeBunny项目遭遇闪电贷攻击,慢雾安全团队解析:这是一次典型的利用闪电贷操作价格的攻击,其关键点在于WBNB-BUNNYLP的价格计算存在缺陷,而BunnyMinterV2合约铸造的BUNNY数量依赖于此存在缺陷的LP价格计算方式,最终导致攻击者利用闪电贷操控了WBNB-BUNNY池子从而拉高了LP的价格,使得BunnyMinterV2合约铸造了大量的BUNNY代币给攻击者。慢雾安全团队建议,在涉及到此类LP价格计算时可以使用可信的延时喂价预言机进行计算或者参考此前AlphaFinance团队。[2021/5/20 22:24:55]
以攻击者地址为例:
据MistTrack反追踪系统显示,共107.5BTC从Liquid交易平台转出到攻击者地址,再以8~21不等的BTC转移到下表7个地址。
慢雾:Cover协议被黑问题出在rewardWriteoff具体计算参数变化导致差值:2020年12月29日,慢雾安全团队对整个Cover协议被攻击流程进行了简要分析。
1.在Cover协议的Blacksmith合约中,用户可以通过deposit函数抵押BPT代币;
2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子,并使用accRewardsPerToken来记录累计奖励;
3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录;
4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押;
5.此时攻击者将第二次进行deposit,并通过claimRewards提取奖励;
6.问题出在rewardWriteoff的具体计算,在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory,此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值;
7.由于memory中获取的Pool值是旧的,其对应记录的accRewardsPerToken也是旧的会赋值到miner;
8.之后再进行新的一次updatePool时,由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小,所以最后获得的accRewardsPerToken将变大;
9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值,在进行rewardWriteoff计算时获得的值也将偏小,但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值;
10.因此在进行具体奖励计算时由于这个新旧参数之前差值,会导致计算出一个偏大的数值;
11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币,导致COVER代币增发。具体accRewardsPerToken参数差值变化如图所示。[2020/12/29 15:58:07]
动态 | 慢雾:10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示,过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击,手法包括但不限于:第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施,例如:1. 密切注意第三方 JS 链接风险;2. 提币地址应为白名单地址,添加时设置双因素校验,用户提币时从白名单地址中选择,后台严格做好校验。此外,也要多加注意内部后台的权限控制,防止内部作案。[2019/11/1]
为了更直观的展示,我们只截取了地址资金流向的一部分,让大家更理解“二分法”洗币。
以图中红框的小额转入地址为例继续追踪,结果如下:
声音 | 慢雾:Dapp、交易所等攻击事件造成损失已近41亿美金:慢雾数据显示Dapp、交易所等攻击事件造成的损失已达4098587697.68美金,半月增加近3亿美金。据2月28日报道,慢雾区上线“被黑档案库(SlowMist Hacked)”,目前各类攻击事件共造成约 3824082630.12 美金的损失。[2019/3/13]
可以看到,攻击者对该地址继续使用了二分法,0.0027BTC停留在地址,而0.0143BTC转移到Kraken交易平台。
攻击者对其他BTC地址也使用了类似的方法,这里就不再重复讲解。慢雾AML团队将对资金停留地址进行持续监控及标记,帮助客户做出有效的事前防范,规避风险。
ETH与ERC20代币部分
攻击者相关地址
经过慢雾AML团队对上图几个地址的深度分析,总结了攻击者对ETH/ERC20代币的几个处理方式。
声音 | 慢雾:使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息,近日,注意到撞库攻击导致用户数字货币被盗的情况,具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测,同时用户在这些中心化服务里并未开启双因素认证。分析认为,被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全,但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系,且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致,这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]
1.部分ERC20代币通过Uniswap、Balancer、SushiSwap、1inch等平台将代币兑换为ETH后最终都转到地址1。
2.部分ERC20代币直接转到交易平台,部分ERC20代币直接转到地址1并停留。
3.攻击者将地址1上的ETH不等额分散到多个地址,其中16\,660ETH通过Tornado.Cash转出。
地址2的538.27ETH仍握在攻击者手里,没有异动。
4.攻击者分三次将部分资金从Tornado.cash转出,分别将5\,600ETH转入6个地址。
其中5,430ETH转到不同的3个地址。
另外170ETH转到不同的3个交易平台。
攻击者接着将3个地址的ETH换成renBTC,以跨链的方式跨到BTC链,再通过前文提及的类似的“二分法”将跨链后的BTC转移。
以地址为例:
以跨链后的其中一个BTC地址为例。根据MistTrack反追踪系统如下图的显示结果,该地址通过renBTC转入的87.7BTC均通过混币平台Wasabi转出。
TRX/TRC20部分
攻击者地址
TSpcue3bDfZNTP1CutrRrDxRPeEvWhuXbp
资金流向分析
据MistTrack反追踪系统分析显示,攻击者地址上的TRC20兑换为TRX。
再将所有的TRX分别转移到Huobi、Binance交易平台。
XRP部分
攻击者相关地址
rfapBqj7rUkGju7oHTwBwhEyXgwkEM4yby
资金流向分析
攻击者将11,508,495XRP转出到3个地址。
接着,攻击者将3个地址的XRP分别转到Binance、Huobi、Poloniex交易所。
总结
本次Liquid交易平台被盗安全事件中,攻击者以迅雷不及掩耳之速就将一个交易平台内超70种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。
截止目前,大部分被盗资产还控制在攻击者手中。21,244,326.3枚TRX转入交易平台,11,508,516枚XRP转入交易平台,攻击者以太坊地址2存有538.27ETH,以太坊地址1仍有8.9ETH以及价值近540万美元的多种ERC20代币,慢雾AML团队将持续对异常资金地址进行实时监控与拉黑。
攻击事件事关用户的数字资产安全,随着被盗数额越来越大,资产流动越来越频繁,加速合规化成了迫在眉睫的事情。慢雾AML团队建议各大交易平台接入慢雾AML系统,在收到相关“脏币”时会收到提醒,可以更好地识别高风险账户,避免平台陷入涉及的境况,拥抱监管与合规的大势。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。