硬核：解密美國司法部起訴中國OTC承兌商洗錢案件_BTC:8bit幣換什么好

來源：PeckSheild

2020年03月02日，美國司法部以陰謀洗錢和無證經營匯款為由，對名為田寅寅和李家東兩位中國人發起了公訴，并凍結了他們的全部資產。理由是，他們二人在2017年12月至2019年04月期間，幫助朝鮮政府下轄黑客組織LazarusGroup提供了價值超1億美元的洗幣服務。

由于美國司法部并未公布這些被盜資金的具體來源，涉及洗錢的加密貨幣交易路徑，甚至當事人李家東還聲稱自己只是受害者，一時間這樁案件成了媒體和坊間熱議的焦點。

究竟是哪幾個交易所被盜了，黑客具體洗錢路徑又是怎樣的，田和李兩位承兌商是在哪個環節參與的？

由于美國司法部并沒有公布被盜交易所的名稱和地址以及田和李涉案的關鍵細節，區塊鏈安全公司PeckShield第一時間介入追蹤研究分析，基于美國司法部僅公布的20個地址向上追溯、取證并以可視化圖文方式還原整個案件的來龍去脈。

DeFi協議Onomy新提案擬將原Bonding Curve平臺改為生態系統Launchpad:6月26日消息，Cosmos 生態 DeFi 協議 Onomy 社區發起一項新提案，提議將當前的 Bonding Curve 平臺重新定位為一個生態系統 Launchpad，更新后的平臺將作為利用 Onomy 基礎設施的新消費級應用鏈 Token 的初始分銷場所。

該提案旨在促進生態系統的擴展，為 NOM 作為 Onomy 生態系統中的實用 Token 提供額外的效用，推動 NOM 持有者的參與，并以優先考慮 NOM 持有者的方式促進新的消費級應用鏈實用 Token 的早期分發。[2023/6/27 22:01:49]

安全公司：山寨版WhatsApp和Telegram應用程序正試圖竊取加密貨幣:3月20日消息，網絡安全研究公司ESET Research發現有不法分子正在利用包含惡意軟件的山寨版Telegram和WhatsApp應用程序以試圖盜取加密貨幣。

此惡意軟件可以將受害者在聊天消息中發送的加密貨幣錢包地址切換到屬于攻擊者的地址。一些剪貼器（Clippers）濫用光學字符識別從截圖中提取文本，并竊取加密貨幣錢包恢復短語。除了剪貼器，ESET還發現遠程訪問木馬程序與惡意Windows版本的WhatsApp和Telegram捆綁在一起。

據悉，Clippers是一種惡意軟件，可以竊取或修改剪貼板的內容。這是ESET Research第一次發現Android Clippers專門針對即時消息。從這些山寨應用程序使用的語言來看，它們背后的運營商似乎主要針對的是中文用戶。（Security Brief）[2023/3/20 13:14:49]

如上圖所示，事情經過簡單總結為：

澳大利亞ASIC對Holon旗下三支加密基金發出臨時停止令:10月17日消息，澳大利亞證券和投資委員會（ASIC）表示已對澳大利亞資產管理公司Holon的三只加密基金下達臨時停止令，原因是不合規的目標市場確定（TMDs）。這些基金分別旨在投資比特幣、以太坊和FileCoin。

據Invest Smart，目標市場確定是一份文件，根據可能的需求、目標和財務狀況以及產品的分銷方式，描述產品適合誰。監管機構表示，擔心Holon“在目標市場確定時沒有適當考慮基金的特征和風險”。（Cointelegraph）[2022/10/17 17:28:43]

北韓黑客組織LazarusGroup先通過釣魚獲取交易所私鑰等手段，攻擊了四個數字資產交易所；之后黑客用PeelChain等手法把所竊的資產轉入另外4個交易所，VCE1到VCE4；再然后黑客又使用PeelChain把資產轉移到負責洗錢的兩位責任人的交易所VCE5和VCE6的賬戶中，最后換成法幣完成整個過程。美國司法部這次起訴的就是最后一環負責洗錢的田寅寅和李家東。

數據：20分鐘內發生3筆10億枚及以上CRO大額鏈上轉賬:10月10日消息，Whale Alert監測數據顯示，20分鐘內發生多筆CRO大額鏈上轉賬移動，分別為10億枚（約1.07億美元）、10億枚（約1.07億美元）、13.33億枚（約1.43億美元）。[2022/10/10 12:51:55]

在接下來篇幅中，

PeckShield將從被盜交易所源頭說起、對黑客洗錢的具體路徑進行系統性的拆解分析，為你復盤、解密整個案件的全過程。

圖文拆解：OTC承兌商洗錢案件

通常情況下，黑客在攻擊得手后，洗錢流程大體分為三步：

中國國家核心學術期刊“首篇”NFT相關論文發布:金色財經報道，近日，由國內知名區塊鏈專家高澤龍等發表的“非同質化代幣的應用原理及身份識別場景解析”刊載在《網絡空間安全》雜志上，可能成為了中國第一篇NFT相關的學術論文。高澤龍認為，目前NFT大部分是被用在游戲、藝術品、代幣等領域，未來NFT更大規模的舞臺可能是成為各行各業的基礎設施和支撐平臺，NFT核心是唯一身份、高效流轉、價值承載、信用網絡、映射連接等，可被用于比如金融票據、身份護照、房產汽車、稅務征收、防偽溯源、版權登記、物碼管理等無數領域，開啟大規模商業應用。

《網絡空間安全》由中華人民共和國工業和信息化部主管，中國電子信息產業發展研究院、賽迪工業和信息化研究院主辦，是集學術性、技術性、專業性和權威性為一體的國家級學術期刊。[2022/7/21 2:28:14]

1）處置階段：非法獲利者將被盜資產整理歸置并為下一步實施分層清洗做準備；

2）離析階段：Layering是一個系統性的交易，也是整個流程中最關鍵技術含量最高的一個過程，用于混淆資產來源和最終收益者，使得當初的非法資產變成“合法所得”；

3）歸并階段：將洗白后的資產“合法”轉走，至此之后，攻擊者手里擁有的非法資產的痕跡已經被抹除干凈，不會引起有關部門的關注。

根據美國司法部提供的信息，有四個交易所被盜，PeckShield安全團隊通過追溯田和李兩人的20個關聯比特幣地址在鏈上數據，根據這些鏈上行為特性，結合PeckShield交易所被盜資料庫的數據信息，最終鎖定是下面四個交易所被盜：

(注：Bter交易所在2017年倒閉后其資產由另一個交易所接管，我們這里仍使用Bter的名字）

在弄清楚贓款源頭之后，我們來看一下被盜資產的洗錢路徑及流向情況，黑客總共將洗錢分成了三步：

一、處置階段：放置資產至清洗系統

在Bter、Bithumb、Upbit、Youbit交易所被盜事件發生后的數月內，攻擊者開始通過各種手段處置他們的非法獲利。將獲利資產流到自己可以控制的賬號之中，為下一步的清洗做準備。

二、離析階段：分層、混淆資產逃離追蹤

離析過程中，攻擊者試圖利用PeelChain的技術手段將手里的資產不斷拆分成小筆資產，并將這些小筆資產存入交易所。下圖中我們挑選了一筆比較典型的拆分過程，對于第一筆2,000BTC的流程細述如下。

1）攻擊者的其中一個地址先前獲利1,999BTC，先將這一筆大額資產拆分成1,500+500BTC；

2）其中1,500BTC再拆分成三個各500BTC的地址，此時看到原先的2,000BTC被拆到了4個新地址之中，而原地址中的余額已經歸零；

3）500BTC轉成20~50BTC的大小往Yobit交易所充值，并將剩下的資產找零到一個新的地址中，此時完成一筆充值；

4）使用新地址重復步驟3，直到原始的500BTC全部存入交易所為止。這一過程中攻擊者也往其它交易所充值記錄，比如Bittrex、KuCoin、HitBTC。

攻擊者通過數百次這樣子的拆分流程之后，原始的非法BTC資產全部流入了各大交易所，完成了初步洗錢操作。

如下圖所示，我們進一步分析發現，在完成初步洗錢操作后，狡猾的攻擊者并沒有直接轉入自己的錢包，而是再次使用PeelChain手法把原始的非法所得BTC分批次轉入OTC交易所進行變現。攻擊者每次只從主賬號分離出幾十個BTC存入OTC帳號變現，經過幾十或上百次的操作，最終成功將數千個BTC進行了混淆、清洗。

三、歸并階段：整合資產伺機套現

攻擊者在完成上一步的洗錢操作之后，開始嘗試進行將非法所得進行OTC拋售套現。

在上圖描述的過程中，從2018年11月28日到12月20日，攻擊者總共把3,951個BTC分一百多次存入田寅寅的Huobi和Coincola三個OTC帳號中變現，最后剩余的9.8個BTC目前還存放在攻擊者中轉地址上。

結語

綜上，PeckShield安全團隊通過追蹤大量鏈上數據展開分析，理清了此次OTC承兌商洗錢事件的來龍去脈。受害交易所分別為?Bter、Bithumb、Upbit、Youbit，據不完全統計損失至少超3億美元，且在攻擊得手后，黑客分三步實施了專業、周密、復雜的分散洗錢操作，最終成功實現了部分套現。

PeckShield認為，黑客盜取資產后實施洗錢，不管過程多周密復雜，一般都會把交易所作為套現通道的一部分。這無疑對各大數字資產交易所的KYC和KYT業務均提升了要求，交易所應加強AML反洗錢和資金合規化方向的審查工作。

Tags：BTCBITNOMELDHBTC幣8bit幣換什么好Onomy ProtocolShield BSC Token

狗狗幣