WSM覆滅記：全球第二大暗網市場是如何垮臺的？_MARK

暗網黑吃黑也是很牛的了，有組織專門做互聯網到暗網的訪問代理入口，口碑做起來，慢慢積累用戶流量，然后隨便搞中間人劫持，偷用戶加密貨幣。再順便搞個暗網服務導航，里面也有釣魚加密貨幣的。沒一定隱私及安全功力的，不要隨便逛暗網...——慢霧科技余弦

作者：王澤龍

編輯：江小漁

當地時間5月3號，跨多國合作的執法部門在德國宣布，他們成功關閉了全球第二大暗網市場：TheWallStreetMarketplace以及多名犯罪嫌疑人。據歐洲刑警組織公布的報告，執法部門一共繳獲超過60萬美元的現金、高達六位數的比特幣與門羅幣，以及大量的其他非法物品。

抓捕WSM相關人員時繳獲的違法物品|來源：紐約時報

這次抓捕歷時大約一年半，匯集了德國、荷蘭、美國、羅馬尼亞等多國執法部門的力量，盡管相關部門聲稱，這可能是截至目前最困難的一次對網絡犯罪的執法行動，但從各方曝光的信息來看，WSM的倒下同它的前輩之遭遇頗為相似——歷史總是押韻的。

　01　

暗網與WSM簡史

要理解WSM是如何倒下的，我們不妨先看看以往的暗網市場歷史。

Coingraph News：昨日發布的美SEC凍結Binance.US相關資產申請獲得法院批準消息沒有得到證實:6月8日消息，據Coingraph News報道，昨日其發布的美國SEC凍結Binance.US相關資產申請獲得法院批準消息沒有得到證實。[2023/6/8 21:24:09]

暗網市場的先驅自然是聞名遐邇的“絲綢之路”,在它2013年9月被FBI關掉后，一個名為“重載”（Reloaded)的暗網市場的流量快速增長，因為前者的用戶需要一個新的平臺來滿足其交易需求。然而在2個月后，該平臺因為不堪流量爆炸的紛擾，被迫選擇下線。

另一名為“綿羊市場”（SheepMarketplace)的暗網市場，于2013年3月份上線，“絲路”的坍塌同樣使得它在客源方面收益頗豐。然而好景不長，同年12月，兩名佛羅里達的黑客盜取了該網站用戶價值600萬美元的比特幣，引起關注后，該網站停止了運行。

這兩個“絲路”時代的暗網市場的遭遇為爾后的同類市場發展，埋下了兩條暗線：

一個平臺會因為另一平臺的倒閉而收獲大量流量，但著可能招致網站無法負荷；

另一條線是：平臺可能因黑客盜竊而損失慘重，進而下線；抑或是，平臺意識到被盯上后，會產生“出逃騙局”（ExitScam)。

模特Emily Ratajkowski的NFT在佳士得以17.5萬美元拍賣出售:金色財經報道，模特Emily Ratajkowski的NFT在周五下午的佳士得拍賣會上以17.5萬美元的價格拍賣出售。[2021/5/15 22:05:06]

后絲路時代的平臺發展狀況，同以上暗線基本貼合。

2015年對于暗網市場來說是一個分水嶺，該年3月份，一家名為“進化”后，直接關停運營。

而后接棒市場領頭羊之位的是：黑行。

接連發生的平臺跑路事件和用戶與商戶的輿論壓力，使得各家平臺不得不調整自己的托管方式和運營模式。

WSM正是在這種背景下，于2016年誕生，上線伊始，它就嘗試著引入了一些新的機制：支持門羅幣以加強交易的隱私性；上線Multisig的比特幣托管模式，與傳統的平臺托管模式并存，降低客戶與商戶資金被平臺裹挾而逃的風險；它還設立了“深度FAQ”、Reddit上請專員來為客戶和商戶處理問題，并且維護平臺與外界的公共關系。

一系列新穎的措施，為WSM吸引了海量的、從其他平臺遷移而來的忠實粉絲。從其被關停后，歐洲刑警組織公布的報告來看，該平臺上著超過5400家注冊商戶以及63000余件非法商品，同時它還有著超過115萬名注冊客戶。

安全人員發現加密劫持活動每天感染多達3000臺Windows電腦:安全研究人員發現了一場規模巨大的網絡攻擊行為，這導致了每天2000至3000臺企業的Windows電腦感染加密挖礦惡意軟件和遠程訪問木馬病。根據以色列數據中心和云安全公司Guardicore 4月1日發布的一篇帖子，這些強力網絡攻擊的目標是運行Microsoft SQL（MS-SQL）服務器軟件的設備，同時還安裝了多個后門。安全人員補充稱，此類活動名為“Vollgar”運動，自2018年5月以來，該運動的目標受眾包括醫療、航空、IT、電信和教育等行業。受害者主要來自美國、中國、印度、韓國和土耳其。（PortsWigger）[2020/4/3]

荷蘭國家刑事調查司司長安迪.克萊格（AndyKraag)指出，執法部門難以評估WSM的整體交易額，但僅荷蘭境內在WSM上的交易商的交易額就高達一億歐元，可見WSM的規模之巨。

　02　

成也蕭何，敗也蕭何

然而WSM的措施并沒有保佑它長長久久——畢竟黑天鵝頻出才是這個世界的常態：今年4月，WSM的同行，也是最大的暗網市場Dream宣布其將主動關停，并讓用戶遷移至別的平臺。

挖礦木馬SysupdataMiner利用漏洞攻擊Windows、Linux:騰訊御見威脅情報中心今日發文稱，近期騰訊安全威脅情報中心檢測到一例跨平臺挖礦木馬SysupdataMiner。該挖礦木馬利用SSH免密登錄的漏洞在內網傳播，然后利用掃描工具掃描外網Redis服務器并進行弱口令爆破攻擊。在感染的機器上，SysupdataMiner會檢測阿里云騎士和騰訊云鏡并進行卸載，會通過多種特征檢測其他挖礦木馬并進行清除，然后下載門羅幣挖礦木馬sysupdata并啟動SysupdataMiner具有針對Windows系統和Linux系統進行攻擊的兩套腳本和木馬文件，可進行跨平臺攻擊。[2020/3/8]

在業內頗有口碑的WSM自然成為大家的不二之選，瞬時涌入的海量用戶極大地增加了網站的負荷，WSM被迫進入“維護狀態”。

WSM運營專員在Dread表明該網站正致力于升級其軟硬件|來源：darkwebnews

與此同時，該網站的托管資金池出現了異樣：大量用戶與商戶的比特幣竟然被鎖定住了，他們無法將其轉入自己的賬戶。Dread的創始人、管理員，Hugbnter，也在Dread的相關板塊提示WSM或存在跑路風險。

Dimecoin今日上線Windows錢包:Dimecoin凌晨發布推特稱，午夜將上線Windows版本錢包。[2018/1/29]

綜合各方信源來看，當時被鎖定的比特幣大約有1400萬美元——3000萬美元的規模，而如果WSM跑路成功，他們可提走至少1100萬美元的現金。

大額資金的短時間異動引起了執法部門的注意，德國事后表示：“當我們看到WSM在提取資金時，我們立刻展開了行動。”

而那位幫助WSM運營Dread和Reddit的專員Med31ln，更是給了執法部門一記神助攻：

或許是感知到平臺即將跑路，這位WSM的專員竟然開始敲詐客戶和商戶，他要求后者每人向其支付0.05比特幣，不然他會將相關人員的信息直接交給執法部門，讓他們身陷囹圄。

可能是敲詐到的金額并未達到這位專員的預期，他一副破罐子破摔的心態，直接把自己登錄WSM后臺的相關信息曝光在了網上，意欲使得第三方通過這種方式看到所有用戶和商戶的信息，讓后者感受到更大的威脅，進而轉給他0.05比特幣。

然而，這在可能滿足他私欲的同時，也為暴露了WSM的真實IP，這顯然能增大破案的可能性。

起于其他平臺倒塌之間的WSM，摧垮它的直接原因，又何不是似曾相識。

WSM的破案過程大致如上，但還有一個問題懸而未決：執法部門是如何確定罪犯的錢包地址的呢？

　03　

失之毫厘，謬以千里

破綻由WSM的被捕創始人之一Frost露出。

首先是，執法部門通過測試，找到了可能由WSM使用的VPN。碰巧的是，該VPN因故停止無法工作，但犯罪團隊依然訪問WSM網站，這就使得執法部門順利獲得了Frost的部分信息。

而后，執法部門轉向了對Frost的錢包地址進行了分析，斬除其層疊的“保護層”后，執法部門發現一個疑似WSM管理方的地址，和在漢莎暗網（HansaMarket)交易的匿名地址一致。

而后，執法部門將漢莎上的地址轉給了一家不具名的比特幣交易服務商，發現背后的控制人姓名為“MartinFrost”，以及相關的郵箱地址，這些信息同執法部門先前在VPN偶然關停后發現的信息一致，Frost因而被鎖定。執法部門使用類似的辦法，找到了另外兩位WSM的管理員。

執法部門會對比特幣的交易歷史進行逆向拆解|來源：sciencemag

需要注意的是，盡管VPN的故障為執法部門提供了重要線索，但最終破案成功同其對比特幣地址的“拆解”有很大關系，負責這一工作的是美國郵政檢驗局。而當年絲路被關停后，相關的比特幣也是由執法部門逆向拆解追蹤到的，彼時負責這一工作的是FBI。

不難預想，此次WSM被關一案中，執法部門運用的手段大概率會在下一次類似的抓捕中運用，而可預期時間內，也會有不少按暗網平臺重走前輩們的老路。

而WSM的落幕顯然不是暗網的結束，更不會是執法部門與暗網平臺方斗爭的結束。前者會吸取WSM倒下的教訓，可能會建立更安全的VPN，使用更復雜的手短隱匿加密貨幣的蹤跡，甚至去創造新的匿名加密貨幣；

而執法部門會憑借在WSM一案中獲取的海量信息，順藤摸瓜，追本溯源，找到更多的犯罪嫌疑人，以及從事相關買賣的消費者和商戶。

加密貨幣與暗網市場的綁定，是人性的惡念對科技的污化與纏結。何時能夠斬斷這一鏈接，或許時間才能給出答案。

參考鏈接：

https://techcrunch.com/2019/05/03/how-german-and-us-authorities-took-down-the-owners-of-darknet-drug-emporium-wall-street-market/

https://darkwebnews.com/darkwebmarkets/wall-street-market-exit-scam/

https://www.forbes.com/sites/daveywinder/2019/05/03/did-a-bitcoin-exit-scam-cause-dark-web-wall-street-market-crash/amp/

https://www.nytimes.com/2019/05/03/business/germany-wall-street-market-drugs.html

https://bitcoinmagazine.com/articles/major-darknet-marketplace-wall-street-market-shuttered-law-enforcement/amp/

https://en.bitcoinwiki.org/wiki/Darknet_market

https://www.ndss-symposium.org/wp-content/uploads/2019/02/ndss2019_09-1_Lee_paper.pdf

https://explorepsychedelics.com/markets/wall-street-market/

Tags：ARKMARMARKKETautoparkMars Space XIcoCryptoMarketCap

火必交易所