前段時間,我們發布了一篇Bitfinex被黑案件細節分析的文章,引起了劇烈的討論。文中提到了一種洗幣方式——剝離鏈技術,借此事件寫一些與鏈上追蹤相關的文章給大家學習。
什么是PeelChain
剝離鏈——是指一種通過一系列冗長的小額交易來清洗大量加密貨幣的技術。這種洗幣方式通常從一個“臟”地址開始,該地址可能與非法活動有關,例如地址A將資金轉到地址B和C,而轉移到地址B的數額多數情況下是極小的,轉移到地址C的數額占大部分,地址C又將資金轉到D和E,依次類推,直至形成以很小的數額轉移到很多地址的情況。而這些地址上的數額,要么以PeelChain的方式繼續轉移,要么轉到交易/暗網平臺,要么停留在地址,要么通過混幣平臺轉出。
DeFi定向流動性協議Poolshark Protocol已開源鏈上自動止損產品Cover Pools:6月15日消息,DeFi定向流動性協議Poolshark Protocol已發布鏈上自動止損產品Cover Pools的源代碼,允許想完成定向范圍訂單的交易者使用AMM進行大規模交易,Cover Pools會自動提高LP的價格,讓用戶可以在價格變動時順利地將一種資產換成另一種資產。[2023/6/15 21:38:19]
案例分析
2016年8月3日,知名加密貨幣交易所Bitfinex發公告稱,黑客入侵了其系統并盜走約119,755枚比特幣。事發當時價值約6000萬美元,按今天的價格計算,被盜總額約為45億美元。據慢霧AML旗下反洗錢追蹤系統?MistTrack分析,黑客最初將被盜資產分散存儲在2072個錢包地址中,經MistTrack標記如下圖。
獨家|比特幣鏈上活躍度上升 未確認交易數近2.4萬筆:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,BTC鏈上活躍度上升。
截至上午10時,BTC全網難度為16.95T,全網算力為126.45EH/s,較前日下降1.08EH/s,全網算力呈下降趨勢。未確認交易數近2.4萬筆。[2020/8/19]
從2017年1月開始,黑客開始密集轉移資產。我們對2072個地址進行分析后,發現黑客將大部分地址上的資金都進行了轉移,而轉移方式正是我們今天要說的剝離鏈。
以黑客地址19Xs96FQJ5mMbb7Xf7NXMDeHbsHqY1HBDM為例:
以太坊區塊鏈上1億枚USDT在火幣交易所內部發生轉移:據Whale Alert數據,北京時間5月20日17:58-18:03,以太坊區塊鏈上發生4筆大額轉賬,總計1億枚USDT從火幣交易所錢包(0x6748f開頭地址)轉入火幣交易所另一錢包(0x7b8c開頭地址)。[2020/5/20]
據MistTrack反洗錢追蹤系統顯示,約30.668BTC從Bitfinex交易平臺轉到黑客地址,再通過兩次直線轉移將BTC轉移到地址。
近一周比特幣鏈上新增地址數量小幅回升:Tokenview數據顯示,近一周(04.20-04.26)比特幣鏈上新增地址數量小幅回升,七日算力均值環比上升13.87%。在鏈上基本指標方面,七日新增地址數均值為42.95萬,環比上升3.97%,活躍地址數均值為82.34萬,環比回落1.19%。七日鏈上交易額均值為83.29 萬 BTC,環比回落0.13%;日均交易筆數為29.75萬筆,環比上升1.81%。七日全網算力均值約合111.19 EH/s,環比上升13.87%。[2020/4/27]
再來看地址的資金流向:
首先,地址將30.6675BTC分為小額2.27BTC和大額28.39BTC分別轉到地址1和地址2;接著,地址1將2.27BTC分為小額0.16BTC和大額2.11BTC分別轉到地址3和地址4;地址3再以同樣的方式將0.16BTC分別轉到地址5和地址6,其他地址同理。
為了更直觀的展示,我們截取了資金流向的一部分,讓大家更理解這種洗幣方法。
從上圖可以看到,資金被轉移到兩個地址,接著兩個地址分別又轉到另兩個地址,數額越來越小,出現的地址也越來越多,只至最后有部分資金通過wasabi混幣轉出或轉到HydraMarket暗網市場。當然,這還只是一小部分的資金流向,但我們不難看出,為了躲避追蹤,黑客非常有“耐心”。
我們再以另一個黑客地址1BprR3VRh8AsJVXFR8uNzzZJnyMhF1gyQE為例,更多地了解PeelChain手法的特征。
據區塊鏈瀏覽器顯示,該黑客地址盜走了271.22BTC。我們接著以大額轉移地址為目標進行追蹤:
……
雖然中間省略了部分轉移情況,但我們還是能清楚地看出PeelChain手法的特征:
一般從一個單一的“臟”地址開始;
通常不斷拆分到兩個地址;
以大額和小額進行拆分;
資金停留或混幣或進入交易所/暗網平臺。
總結
剝離鏈技術常常被黑客使用,一方面是因為每次單獨轉移的金額很小,幾乎不會引發交易平臺的風控提醒,另一方面是由于這種洗幣鏈路極度冗長和復雜,會使他們盜取的資產變得極難追蹤。
對于一些復雜冗長的剝離鏈,黑客通常使用計算機程序自動化該過程。盡管如此,我們仍可以使用腳本及追蹤工具來追蹤此類事件。憑借支持多幣種、數量超10萬的惡意地址庫,慢霧AML旗下反洗錢追蹤系統MistTrack將幫助加密貨幣交易平臺、用戶個人等追蹤溯源,實時監控拉黑黑客地址并聯動各大交易平臺凍結資金,為資金安全更好地保駕護航。
相關鏈接:
https://en.bitcoin.it/wiki/Privacy
https://aml.slowmist.com/mistTrack.html
眼看耐克和阿迪在NFT和Web3世界里玩得風生水起,彪馬終于坐不住了。近日,國際第三大運動品牌、德國上市公司彪馬在推特上把“名字”改了,從此前的PUMA改為“PUMA.eth”.
1900/1/1 0:00:00背景 不知不覺距離波卡首次插槽拍賣已經過去了快4個月,而上個月底,波卡理事會通過了Motion158的決議,安排了今年剩余時間的平行鏈拍賣時間.
1900/1/1 0:00:00BSV學院的新電子書《確保比特幣挖礦盈利和可持續發展的框架》探討了從選擇ASIC礦工到一個地方的氣候如何影響挖礦作業的可持續性和利潤的方方面面.
1900/1/1 0:00:00加密生態系統在過去十年中迅速發展。自從2008年比特幣白皮書發布以來,加密領域出現了巨大的創新,并被廣泛采用,幾乎成為主流.
1900/1/1 0:00:00據區塊鏈分析公司Santiment數據顯示,截至2月20日,公鏈Solana鏈上活躍開發者數量已經超越以太坊,成為活躍開發者數量最多的區塊鏈.
1900/1/1 0:00:00近日,全球關注的烏俄戰事蔓延到了金融領域。消息稱,美國和歐盟、英國及加拿大發表聯合聲明,宣布禁止俄羅斯的幾家主要銀行使用SWIFT國際結算系統.
1900/1/1 0:00:00