BTC:硬核：解密美国司法部起诉中国OTC承兑商案件_AIOTC

来源：PeckSheild

2020年03月02日，美国司法部以阴谋和无证经营汇款为由，对名为田寅寅和李家东两位中国人发起了公诉，并冻结了他们的全部资产。理由是，他们二人在2017年12月至2019年04月期间，帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。

由于美国司法部并未公布这些被盗资金的具体来源，涉及的加密货币交易路径，甚至当事人李家东还声称自己只是受害者，一时间这桩案件成了媒体和坊间热议的焦点。

究竟是哪几个交易所被盗了，黑客具体路径又是怎样的，田和李两位承兑商是在哪个环节参与的？

由于美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节，区块链安全公司PeckShield第一时间介入追踪研究分析，基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

印度加密货币交易所WazirX推出盈利、亏损功能:金色财经报道，印度加密货币交易所WazirX推出了盈亏（P&L）功能，供用户分析和计算其投资。WazirX用户将通过绝对损益、每项资产的平均买入量来查看他们的投资组合，还可以为代币定制 \"损益视图\"。WazirX计算器考虑了平均买入价、投资价值和未实现的损益。该功能还有一个单独的类别，用于交易以外的事件的影响，这些事件包括作为推荐奖励收到的硬币、加密货币提款、奖励和惩罚。（forkast）[2022/11/8 12:30:22]

如上图所示，事情经过简单总结为：

北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段，攻击了四个数字资产交易所；之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所，VCE1到VCE4；再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中，最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。

APE在Upbit暴涨或与韩国市场特有炒作方式相关:4月12日消息，行情数据显示，APE 在韩国交易平台 Upbit 一度暴涨 16 倍，此前 Upbit 因为上海升级而关闭了相关充提，而韩国加密市场曾多次出现关充提的炒作行情。上涨发生时段，多个加密交易平台 APE 涨幅超过 7%。[2023/4/12 13:59:49]

在接下来篇幅中，

PeckShield将从被盗交易所源头说起、对黑客的具体路径进行系统性的拆解分析，为你复盘、解密整个案件的全过程。

图文拆解：OTC承兑商案件

通常情况下，黑客在攻击得手后，流程大体分为三步：

加密货币交易所Kanga Exchange因传播虚假信息遭波兰竞争和消费者保护委员会起诉:1月16日消息，加密货币交易所 Kanga Exchange 因在其网站上传播虚假信息、侵犯消费者集体权益而被波兰竞争和消费者保护委员会（UOKiK）起诉。该虚假信息包括两点，一是 Kange Exchange 从未获得波兰金融监管局的批准，却在其官网上称其「商业模式」已获得批准；二是 Kanga Exchange 以「波兰加密货币交易所」在网站上进行宣传，但其运营商 Good Solution Investments Limited 的注册办事处在伯利兹（Belize），因此与用户签订合同的适用法律是伯利兹法律。

UOKiK主席认为，提供这样的信息可能会误导消费者对所进行操作的合法性与安全性的认识，如果消费者知道波兰法律不是与该公司履行合同的适用法律，他们可能会考虑到经济和法律风险而决定不使用所提供的服务」。如果侵犯消费者集体权益的指控成立，Good Solution Investments Limited 有可能被处以最高为其营业额 10 % 的罚款。同时，由于其在 kanga.exchange 网站上的运作可能涉嫌犯罪，该公司还出现在波兰金融监管局的警告名单上。[2023/1/16 11:14:51]

1）处置阶段：非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备；

Kaiko宣布推出价格费率:金色财经报道，服务于机构投资者和企业的数字资产数据提供商Kaiko宣布推出第一套50种价格率，旨在改进数字资产的定价信息。

Price Rates利用Kaiko的专业数据分析和市场情报能力，提供准确、透明和可靠的价格信息。可以被机构投资者用来准确评估其托管或持有资产的价值。（businesswire）[2022/9/21 7:09:53]

2）离析阶段：Layering是一个系统性的交易，也是整个流程中最关键技术含量最高的一个过程，用于混淆资产来源和最终收益者，使得当初的非法资产变成“合法所得”；

3）归并阶段：将洗白后的资产“合法”转走，至此之后，攻击者手里拥有的非法资产的痕迹已经被抹除干净，不会引起有关部门的关注。

根据美国司法部提供的信息，有四个交易所被盗，PeckShield安全团队通过追溯田和李两人的20个关联比特币地址在链上数据，根据这些链上行为特性，结合PeckShield交易所被盗资料库的数据信息，最终锁定是下面四个交易所被盗：

明星投资人Kevin O'Leary：加密货币迫切需要监管政策:金色财经报道，明星投资人Kevin O'Leary近日在采访中表示，加密货币迫切需要政策，需要监管。O'Leary 解释说：“就在两周前，有一项法案正在考虑通过，不是比特币，只是稳定币作为支付系统。正如你所知，这是一个非常不稳定的领域。”（Bitcoin.com）[2022/8/7 12:07:47]

(注：Bter交易所在2017年倒闭后其资产由另一个交易所接管，我们这里仍使用Bter的名字）

在弄清楚赃款源头之后，我们来看一下被盗资产的路径及流向情况，黑客总共将分成了三步：

一、处置阶段：放置资产至清洗系统

在Bter、Bithumb、Upbit、Youbit交易所被盗事件发生后的数月内，攻击者开始通过各种手段处置他们的非法获利。将获利资产流到自己可以控制的账号之中，为下一步的清洗做准备。

二、离析阶段：分层、混淆资产逃离追踪

离析过程中，攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产，并将这些小笔资产存入交易所。下图中我们挑选了一笔比较典型的拆分过程，对于第一笔2,000BTC的流程细述如下。

1）攻击者的其中一个地址先前获利1,999BTC，先将这一笔大额资产拆分成1,500+500BTC；

2）其中1,500BTC再拆分成三个各500BTC的地址，此时看到原先的2,000BTC被拆到了4个新地址之中，而原地址中的余额已经归零；

3）500BTC转成20~50BTC的大小往Yobit交易所充值，并将剩下的资产找零到一个新的地址中，此时完成一笔充值；

4）使用新地址重复步骤3，直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录，比如Bittrex、KuCoin、HitBTC。

攻击者通过数百次这样子的拆分流程之后，原始的非法BTC资产全部流入了各大交易所，完成了初步操作。

如下图所示，我们进一步分析发现，在完成初步操作后，狡猾的攻击者并没有直接转入自己的钱包，而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现，经过几十或上百次的操作，最终成功将数千个BTC进行了混淆、清洗。

三、归并阶段：整合资产伺机套现

攻击者在完成上一步的操作之后，开始尝试进行将非法所得进行OTC抛售套现。

在上图描述的过程中，从2018年11月28日到12月20日，攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现，最后剩余的9.8个BTC目前还存放在攻击者中转地址上。

结语

综上，PeckShield安全团队通过追踪大量链上数据展开分析，理清了此次OTC承兑商事件的来龙去脉。受害交易所分别为?Bter、Bithumb、Upbit、Youbit，据不完全统计损失至少超3亿美元，且在攻击得手后，黑客分三步实施了专业、周密、复杂的分散操作，最终成功实现了部分套现。

PeckShield认为，黑客盗取资产后实施，不管过程多周密复杂，一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求，交易所应加强AML反和资金合规化方向的审查工作。

标签：BTCBITOTCELDBTC俱乐部bitstamp交易平台正规吗AIOTCZeusshield

狗狗币热门资讯