Cryptopia 倒閉背后，黑客究竟如何洗白盜來的幣？_CRYP:ETH

5月15日新西蘭加密貨幣交易所Cryptopia宣布停運并清算，并表示已指派正大會計師事務所對資產進行清算，將持續數月。今年1月該交易所遭遇連續兩次的黑客攻擊，損失超過1600萬美元。本文將深度還原黑客如何洗掉從Cryptopia那里盜來的黑幣的。

原文標題：《圖文剖析Cryptopia交易所黑客洗錢行蹤》作者：PeckShield團隊

2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數字資產之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數月后，開始密集的洗錢行動。據PeckShield數字資產護航系統數據顯示，近兩天來，該黑客已經將4,787個ETH轉入了火幣交易所，而且仍有26,003個ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發現

CryptoPunks#3028以68ETH的價格成交:金色財經報道，數據顯示，大約9小時CryptoPunks#3028以68ETH的價格成交。[2023/9/4 13:16:32]

1、黑客在攻擊成功后，一般會將資產分散到多個地址或直接轉移到新地址后沉寂一段時間以避開風頭；2、在洗錢過程中，黑客會先轉移出少部分資產進行嘗試，尋找最佳洗錢方式；3、在少部分資產嘗試清洗成功后，才會處理剩余資產，否則會繼續沉寂等待時機。

從本次洗錢路徑看，黑客是有通過去中心化交易所EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

一圖概覽黑客洗錢全過程：

CryptoQuant CEO：Haru Invest疑似對客戶隱瞞了對FTX的資金轉賬:6月15日消息，CryptoQuant首席執行官Ki Young Ju表示，OXT Research報道稱，Haru Invest使用了FTX。如果這是真的，那么在FTX倒閉后的整整一年里，他們都對客戶保持沉默。

OXT Research在推特上表示，Haru Invest的BTC余額從來沒有特別高，交易量最高是在2022年夏季，監測到Haru Invest對FTX的兩次資金交易是其比特幣地址最大的轉出交易。[2023/6/15 21:37:57]

圖1:黑客盜取的ETH完整流向圖

從圖1中能看到，黑客先將部分數字資產轉移到一個地址，再偽裝成買家和賣家，在去中心化交易所EtherDelta中買賣交易，試圖逃避追蹤，之后將資產再次匯聚到一起進入火幣交易所。進一步的細節如下：

區塊鏈SaaS平臺Crypto APIs獲得ISO 27001認證:金色財經報道，2月24日消息，CryptoNinjas發表文章稱Crypto APIs的合規性得到了獨立審計公司TüV Rheinland的驗證。Crypto APIs是一個用于構建區塊鏈和加密應用程序的B2B軟件即服務(SaaS)平臺，現已通過ISO/IEC27001:2013認證。

ISO/IEC27001標準最初由國際標準化組織(ISO)和國際電工委員會(IEC)于2005年制定。后來在2013年采用了具有更嚴格要求的修訂版。目前，ISO27001用于評估企業保護敏感和機密數據的能力。[2022/2/24 10:13:22]

第一步：資產轉移

在交易所等巨額資產出現安全問題后往往引來無數媒體關注，所有人都會緊盯資產流向，而此時黑客通常會沉寂數月乃至一年。在認為避開風頭之后，抓住一個最佳時機，開始銷贓洗錢。

Africrypt高管將通過虛擬平臺作證參與Africrypt調查:9月20日消息，南非加密投資平臺Africrypt的兩位董事Ameer和RaeesCajee將參與一項旨在確定公司命運的調查。根據Itweb的報道，已經收到多次死亡威脅的Ameer和Raees最初計劃于2021年9月第二周在調查前出庭。該報道還顯示，其他Africrypt高管，如前合規官DanielOpperman、WayneNaidoo（董事）和SteveMiller（經理）已經通過虛擬平臺作證。據報道，在Opperman的證詞中，他只是通過媒體報道才知道Africrypt系統遭到黑客入侵。

此前消息，加密平臺Africrypt創始人或攜價值36億美元BTC潛逃。（BitcoinNews）[2021/9/20 23:37:40]

此次黑客估計是被市場回暖喚醒，先將5,000個ETH以每筆1,000個的方式轉入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發現它們共間隔16小時，而且是在每轉出一筆后，進入后續的偽裝成買家賣家操作。可見黑客格外的小心翼翼，先探探頭，試試水再說。

動態 | CryptoCompare在納斯達克金融數據平臺推出數字資產歷史數據產品:加密資產市場數據提供商CryptoCompare在納斯達克的金融數據平臺Quandl上推出了一款新的歷史數據產品，它將使機構投資者能夠監測新興的數字資產類別，并利用可信的數據源評估投資機會。這種高度精細的數據源來自選定交易所的交易級別數據，可用于多種目的，包括交易策略回測，定量研究，資產凈值計算，風險建模，技術分析，稅收計算，參考定價等。(The Daily Hodl)[2020/2/22]

圖2:黑客將部分資產轉移到一個新地址

第二步：偽裝買賣

黑客為了逃避資產追蹤，一般會將大額資產，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

圖3:黑客偽裝成買家

圖4:黑客控制的地址買賣

黑客將每次收到的1,000ETH，再散成以約500個ETH一筆進入去中心化交易所，開始買賣。從圖3和圖4中發現，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產轉移。

偽裝買家賣家，買賣BAT、ELF代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產倒手，圖中是黑客成交的多筆ELF和BAT代幣的訂單。

圖5:黑客偽裝成買家交易ELF、BAT代幣

具體來看買家在去中心化交易所EtherDelta合約上的一條交易記錄

圖6:買家在EtherDelta上的交易記錄

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現操作，對應的著鏈上的交易記錄

截圖如下：

圖7:賣家在EtherDelta上的提現記錄

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

圖8:黑客資產匯總進入火幣交易所

至此，黑客最初的5,000枚ETH，分批匯聚再進入去中心化交易所，經過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發文時，黑客共計將4,787個ETH轉入了火幣交易所，PeckShield正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個ETH控制在黑客手中，存在進一步洗錢的可能。PeckShield正持續追蹤黑客下一步的洗錢行蹤。

今年1月份Cryptopia交易所遭黑客攻擊損失共計30,790個ETH。時隔3個月，當時的ETH行情價格也已經翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹慎的，通過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤，但區塊鏈世界，一切鏈上行為都有跡可循，安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

偽裝買家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

偽裝賣家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

偽裝賣家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產匯總地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627832.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

BCH硬分叉后重組并非51%攻擊，而是從小偷那里奪回應有的幣

下一篇：

監控地址，阻斷黑幣，保護聲譽：慢霧AML為交易所開啟「鷹眼」

Tags：CRYPCRYCRYPTETHCRYPTOScryCryptomedaethereum代幣瀏覽器

DOT