区块链反态势
匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同地“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。
2022上半年,这些群体的反动态如下:
交易平台/资金管理平台/项目方
Tether:2022上半年共计屏蔽了132个ETH地址,这些地址上拥有的USDT-ERC20资产被冻结不可转移。
Circle:2022上半年共计屏蔽了18个ETH地址,这些地址上拥有的USDC-ERC20资金被冻结不可转移。
监管方
美国财政部:4月14日制裁RoninNetwork黑客相关的地址,5月6日制裁加密货币混币器Blender,值得注意的是,美国财政部在此之前从未制裁过加密货币混币器。
区块链安全公司
Chainalysis:3月10日,创建SanctionsList链上数据库合约,共计制裁31个地址。
SlowMist:4月27日,MistTrack反追踪系统正式上线,专注于打击加密货币活动。
众所周知,造成区块链安全事件的黑客、黑色产业链、欺诈者和RugPull项目方一直是的主力,其中最臭名昭著的莫过于朝鲜LAZARUSGROUP黑客组织,给区块链生态安全带来巨大的威胁。
数据:2022年Curve v2约占所有DEX ETH/USDT交易量的65%:7月27日消息,Delphi Digital发布数据报告显示,2022年,Curvev2约占所有DEX ETH/USDT交易量的65%,在份额上超过Uniswapv3;在Arbitrum上,Curve Tricrypto在ETH交易量中占主导地位,约占总市场份额的83%以上。[2022/7/27 2:41:44]
根据开源情报和链上数据分析推测LAZARUSGROUP上半年的动态如下:
1月17日,Crypto.com的少数用户账户遭到未经授权提款。
2月8日,TheIRAFinancial的Gemini托管账户被恶意提款。
3月23日,RoninNetwork跨链桥被盗成为加密货币领域损失最大的黑客攻击事件之一。
在这些与LAZARUSGROUP相关的安全事件中,我们可以通过他们成体系的手法发现他们的痕迹:
初期:将ETH链上的获利资金全部兑换为ETH,并将所有的ETH分批转入Tornado.Cash或者交易平台。
中期:从Tornado.Cash分批提款后兑换为renBTC代币跨链到BTC链。
后期:在BTC链上,从renBTC提款后汇总资金,并进一步转移到Coinjoin和混币器。
在黑客、黑色产业链、欺诈者和RugPull项目方过程中,自然少不了一些工具的帮忙,常见的工具有ETH/BSC链上的Tornado.Cash,BTC链上的Coinjoin工具、混币器、隐私钱包、换币平台和一些交易平台。
巴塞尔委员会:将在2022年内对银行加密资本计划作出修订:6月30日消息,全球银行监管机构巴塞尔银行委员会在周四的一份最新提案中表示,银行应采取保守的方式拨备资本,以应对账面上无担保的加密资产风险,该提案也涵盖区块链相关内容。尽管相对于全球股票、债券和衍生品市场的规模仍较小,但巴塞尔委员会等监管机构依然非常担心加密货币行业对金融体系的潜在风险,因此要求银行在为加密资产预留资金时采取保守立场,以覆盖来自分布式账本技术或区块链的不断变化的风险。巴塞尔银行委员会表示将把加密资产分为两大类,一类是 Stablecoin,另一类是风险较高的加密资产,需要更保守的资本处理,相关规则会在年底前敲定。(路透社)[2022/6/30 1:41:55]
一些常见工具上半年的存提款数据如下:
Tornado.Cash:2022上半年用户共计存款955,277ETH到Tornado.Cash,共计从Tornado.Cash提款892,573?ETH。
ChipMixer:2022上半年用户共计存款26,021.89BTC到ChipMixer,共计从ChipMixer提款14,370.57BTC。
Marathon Digital 被 DA Davidson 评为进入 2022 年的最佳挖矿选择:金色财经报道,Marathon Digital (MARA) 是最大的公开交易的比特币矿商之一,被 DA Davidson 评为进入 2022 年的最佳矿业股。这家华尔街投资银行认为,Marathon 的股票在最近的抛售之后具有不错的上涨空间。分析师Christopher Brendler表示,凭借其新的低成本德克萨斯设施和大规模的Bitmain新订单,我们预测MARA到23年第1季度将达到23EH/s,而无需额外的资本筹集。\u2028Brendler认为他覆盖的所有六家矿商都有上升空间,因为他预计采矿股的回报比通过比特币本身更好。然而,MARA是他的首选,因为该股一直是受打击最严重的股票之一,主要是由于他所谓的对美国证券交易委员会调查的 “错位担忧\"。
Brendler对MARA的股票持买入建议,12个月的目标价为65美元。(Coindesk)[2021/12/30 8:13:42]
Blender:LAZARUSGROUP使用此混币器洗RoninNetwork跨链桥被盗的钱,于5月6日被美国财政部制裁,目前站点已不可用。
在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?我们将通过上半年的典型安全事件来探索这两个问题。
发起攻击的手续费来自哪里?
公告 | D-BANK.ORG发布2020年发展路线图:今日,D-BANK.ORG发布2020年发展路线图。详细如下:
Q1:DBChain公链主网、区块浏览器、去中心化钱包上线;iToken DApp上线,一键发行DRC20数字资产。
Q2:DBMall商城支持主网DBM支付结算;DBM上线新的国际主流交易所。
Q3:Contractor开发者工具上线,智能合约、Web、钱包集成开发IDE;举办DBChain区块链黑客马拉松全球开发者大会。
Q4:CVote DApp链上投票决策治理系统上线;在跨境支付领域与更多全球商业伙伴建立合作,帮助至少100家机构业务数据上链。[2020/1/31]
根据典型安全事件攻击手续费来源图,典型安全事件的攻击手续费大多都来自Tornado.Cash提款,也有从换币平台、交易平台提款或从其他个人地址转移的情况。
的资金去了哪里?
通过对上半年典型安全事件的整体分析,的主要流程发生在ETH链或BTC链,如果资金没有在这两条链上,黑客也会考虑将资金跨链到这两条链进一步变现。
通过对典型安全事件被盗资金的ETH和BTC流向进行分析,得到ETH/BTC资金流向图,能够初步评估出资金的态势。
ETH资金流向图
声音 | 普华永道加密主管:预计更多机构将从2020年起开始入场:普华永道亚洲金融科技及加密主管、香港金融科技协会主席Henry Arslanian最近在接受彭博社采访时就2020年数字资产市场表达了自己的一些看法。Arslanian称,Libra是导致全球央行对加密更感兴趣的原因。他表示,银行对虚拟货币的反应非常缓慢。然而,如今世界上超过70%的央行都在研究加密。他相信,在接下来的几个月里,当大型跨国组织对加密技术表现出兴趣时,将会出现重大的变化。Arslanian称:“比特币仍然是所有加密货币之母。而Libra仍依赖法定货币作为基础资产。另一方面,比特币是去中心化的。至于其他加密资产,它们都有自己的用例和用途,这就是为什么它们可能同时存在的原因。”此外,Arslanian预计更多的机构将从2020年起开始入场。原因之一是机构客户对加密产生了更大的兴趣。数字资产领域得到了许多规范的解决方案,如加密托管、基金和规范的工具,如期货。这些都将允许传统的玩家以一种他们更熟悉的方式接触加密生态系统。与此同时,Arslanian还补充道,大量的数字和虚拟银行正在涌现。(Bitcoinist)[2019/12/24]
根据典型安全事件ETH资金流向图,74.6%资金流向Tornado.Cash,资金量高达300,160ETH;23.7%资金保留在黑客地址,暂未进一步转移,资金量为95,570ETH;1.5%资金流向交易平台,资金量为6,250ETH。
BTC资金图
根据典型安全事件BTC资金流向图,48.9%资金流向ChipMixer,资金量高达3,460BTC;36.5%资金保留在黑客地址,暂未进一步转移,资金量为2,586BTC;6.2%资金流向Blender,3.8%资金流向CryptoMixer,2.1%资金流向未知主体,1.3%资金流向renBTC,0.7%资金流向WasabiCoinjoin,0.1%资金流向Binance交易平台。
工具及方法
在正式开始反分析之前,我们首先要有一个高效的工具和一套有效应对复杂情况的分析方法。
基础工具–MistTrack
MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AMLRiskScore
MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
AddressLabels
MistTrack反追踪系统积累了超2亿个钱包地址标签,地址标签主要包含3个分类:
1.它归属于什么实体,如Coinbase、Binance
2.它的链上行为特征,如DeFi鲸鱼、MEVBot以及ENS
3.一些链下情报数据,如曾使用过imToken/MetaMask钱包
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。
拓展方法-数据分析
MistTrack可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。
新的手法需要新的分析方法,对Tornado.Cash转出分析的需求变得越来越普遍,此处我们将提出一个针对Tornado.Cash资金转出的分析方法。
记录目前已知的信息,已知信息包括转入Tornado.Cash总数,第一笔Tornado.Cash存款时间,第一笔Tornado.Cash存款的区块高度。
将参数填入我们准备的分析面板?。
得到初步的Tornado.Cash提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
Tornado.Cash转出分析结论。
通过这个Tornado.Cash资金转出的分析方法,我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。
显而易见,这个Tornado.Cash资金转出的分析方法同样存在局限性:转入Tornado.Cash的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。
识别ChipMixer的提款特征。
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内ChipMixer的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer转出分析结论。
总结
反仍然是区块链发展的重中之重,面对层出不穷的被黑事件,针对其独有的特点,相应的反规范也需要具体问题、具体分析、具体应对。文中所提到的典型安全事件具体见完整报告内容。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
直到一场名为Web3的浪潮袭来,人们叫嚣着要“重建”一个平等且开放的互联网之时,这场航行的起点才被人想起——31年前的8月6日,世界上诞生了第一个网页.
头条 ▌TheDAO主要设计师之一在九年后离开了以太坊社区金色财经报道,TheDAO背后的主要设计师之一StephanTual在九年后离开了以太坊社区.
监管风暴再次来袭。自2021年9月央行等十部门对虚拟货币非法业务活动重拳出击后,一年后的2022年8月9日,国家网信办再发布集中整治涉虚拟货币炒作乱象的消息称,已关闭上万个违规用户账号,清理数万.
模块化区块链中,执行层和共识层已是红海市场,数据可用性层的价值仍然有待被发掘。原文标题:《IOSGWeeklyBrief|拆解数据可用性层:模块化未来中被忽视的乐高积木#136》?撰文:Jiaw.
“如果说Web3处在互联网的2000年,那Ethereum是不是当年的亚马逊?”作者:FMResearch 前言 在巴黎的ETHCC活动上.
2022年8月8日,美国财政部的海外资产控制办公室的官网显示,将部分与TornadoCash协议或与之相关的以太坊地址进行交互的地址,放入SDNList(美国特别制定国民名单).