Cryptopia 倒閉背后，黑客究竟如何洗白盜來的幣？_ETH

5月15日新西蘭加密貨幣交易所Cryptopia宣布停運并清算，并表示已指派正大會計師事務所對資產進行清算，將持續數月。今年1月該交易所遭遇連續兩次的黑客攻擊，損失超過1600萬美元。本文將深度還原黑客如何洗掉從Cryptopia那里盜來的黑幣的。

原文標題：《圖文剖析Cryptopia交易所黑客洗錢行蹤》作者：PeckShield團隊

2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數字資產之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數月后，開始密集的洗錢行動。據PeckShield數字資產護航系統數據顯示，近兩天來，該黑客已經將4,787個ETH轉入了火幣交易所，而且仍有26,003個ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發現

過去6小時共計3萬枚ETH從Crypto.com轉至幣安:金色財經報道，據Tokenview監測數據顯示，近6個小時內，累計有30,000枚ETH 從Crypto.com 轉至Binance。[2023/6/8 21:24:15]

1、黑客在攻擊成功后，一般會將資產分散到多個地址或直接轉移到新地址后沉寂一段時間以避開風頭；2、在洗錢過程中，黑客會先轉移出少部分資產進行嘗試，尋找最佳洗錢方式；3、在少部分資產嘗試清洗成功后，才會處理剩余資產，否則會繼續沉寂等待時機。

從本次洗錢路徑看，黑客是有通過去中心化交易所EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

a16z Crypto的工程團隊發布Halmos、Helios等開源工具:4月11日消息，a16z Crypto 首席技術官發推稱其工程團隊發布了開源工具，為加密生態系統中的開發人員、構建者和用戶提供服務。其最新的六個庫涉及： - 符號測試（Halmos） - 輕客戶端（Helios） - 拍賣設計（Auction Zoo） - 私人空投（zkdrops） - 新社交網絡（zkDocs） - 可信設置（evm-powers-of-tau）。[2023/4/11 13:57:15]

一圖概覽黑客洗錢全過程：

圖1:黑客盜取的ETH完整流向圖

從圖1中能看到，黑客先將部分數字資產轉移到一個地址，再偽裝成買家和賣家，在去中心化交易所EtherDelta中買賣交易，試圖逃避追蹤，之后將資產再次匯聚到一起進入火幣交易所。進一步的細節如下：

Crypto.com宣布上線STEPN（GMT）:金色財經報道，Crypto.com 官方宣布上線 Web3 M2E 應用 STEPN 原生 Token GMT，允許用戶使用美元、歐元、英鎊等購買，而且還能用 Crypto.com Visa 卡在全球超過 8000 萬商戶處消費。[2022/9/22 7:14:50]

第一步：資產轉移

在交易所等巨額資產出現安全問題后往往引來無數媒體關注，所有人都會緊盯資產流向，而此時黑客通常會沉寂數月乃至一年。在認為避開風頭之后，抓住一個最佳時機，開始銷贓洗錢。

此次黑客估計是被市場回暖喚醒，先將5,000個ETH以每筆1,000個的方式轉入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發現它們共間隔16小時，而且是在每轉出一筆后，進入后續的偽裝成買家賣家操作。可見黑客格外的小心翼翼，先探探頭，試試水再說。

英國營銷監管機構禁止Crypto.com的兩則加密廣告:1月5日消息，英國營銷監管機構周三表示，在收到投訴后，已禁止來自Crypto.com的兩則加密廣告。監管機構表示，這些廣告未能說明投資的風險，利用消費者缺乏經驗或輕信是不負責任的。據悉，此次并沒有發出罰款，只是警告稱“未來的廣告必須包含明確說明加密貨幣投資價值可能下降也可能上升的細節。”（the block crypto）[2022/1/5 8:26:01]

圖2:黑客將部分資產轉移到一個新地址

第二步：偽裝買賣

黑客為了逃避資產追蹤，一般會將大額資產，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

南非匿名投資者擬斥資500萬美元收購破產加密公司Africrypt 51%的股份:11月12日消息，一位匿名投資者提議以500萬美元收購破產南非加密投資公司Africrypt 51%的股份。然而，作為對收購要約的交換，這位投資者希望原告放棄對Africrypt董事的所有刑事訴訟。據Moneyweb報道，南非加密投資平臺Africrypt的債權人將于2021年11月12日對折衷方案進行投票。但是，只有得到75%債權團的支持，才能成為法院命令。

此前，當公司的兩位年輕董事Raees和Amir Cajee報告公司系統遭到入侵時，該公司隨即倒閉。在宣稱Africrypt是遭到了黑客攻擊后不久，Cajees帶著投資者的資金一起消失了，Africrypt的投資者因此對這兩位董事提起了法律訴訟。

作為向債權人提出的折衷方案的一部分，該投資者將支付400萬美元，用于支付債權人對Africrypt的索賠。剩下的100萬美元將用于提高公司的營運資本。除了試圖拯救Africrypt，并保護兩位董事免受可能的刑事起訴，這位投資者還提議聘用Cajee兄弟，并任命清算人Eugene Januarie進入Africrypt董事會。（Bitcoin.com）[2021/11/12 21:45:39]

圖3:黑客偽裝成買家

圖4:黑客控制的地址買賣

黑客將每次收到的1,000ETH，再散成以約500個ETH一筆進入去中心化交易所，開始買賣。從圖3和圖4中發現，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產轉移。

偽裝買家賣家，買賣BAT、ELF代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產倒手，圖中是黑客成交的多筆ELF和BAT代幣的訂單。

圖5:黑客偽裝成買家交易ELF、BAT代幣

具體來看買家在去中心化交易所EtherDelta合約上的一條交易記錄

圖6:買家在EtherDelta上的交易記錄

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現操作，對應的著鏈上的交易記錄

截圖如下：

圖7:賣家在EtherDelta上的提現記錄

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

圖8:黑客資產匯總進入火幣交易所

至此，黑客最初的5,000枚ETH，分批匯聚再進入去中心化交易所，經過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發文時，黑客共計將4,787個ETH轉入了火幣交易所，PeckShield正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個ETH控制在黑客手中，存在進一步洗錢的可能。PeckShield正持續追蹤黑客下一步的洗錢行蹤。

今年1月份Cryptopia交易所遭黑客攻擊損失共計30,790個ETH。時隔3個月，當時的ETH行情價格也已經翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹慎的，通過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤，但區塊鏈世界，一切鏈上行為都有跡可循，安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

偽裝買家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

偽裝賣家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

偽裝賣家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產匯總地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627832.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

BCH硬分叉后重組并非51%攻擊，而是從小偷那里奪回應有的幣

下一篇：

監控地址，阻斷黑幣，保護聲譽：慢霧AML為交易所開啟「鷹眼」

Tags：CRYCRYPTCRYPETHTokocryptoElonCryptoGodEarthcrypt Token女生用ethereal當網名什么寓意

FIL