诈骗者地址2(0x693b72)分别在UniswapV2、UniswapV3、Curve平台进行多笔兑换交易,将9,579 stETH和 4,850 rETH全部兑换成ETH,兑换合计14,783.9413 ETH。 stETH兑换: rETH兑换: 部分ETH兑换成DAI。诈骗者地址2(0x693b72)将1,000ETH通过UniswapV3平台兑换成1,635,047.761675421713685327 DAI。诈骗者通过分散式资金转移手段,将盗用资金转移至多个中间钱包地址,合计1,635,139 DAI和13,785 ETH。其中1,785 ETH被转移至中间地址(0x4F2F02),2,000 ETH被转移至中间地址(0x2ABdC2)以及10,000 ETH被转移至中间地址(0x702350)。此外,中间地址(0x4F2F02)于次日获得1,635,139 DAI 中间钱包地址(0x4F2F02)资金转移: 该地址经一层资金转移,拥有1,785 ETH和1,635,139 DAI。分散转移资金DAI,以及小额兑换成ETH 首先,诈骗者于2023-09-07日凌晨开始陆续通过10笔交易转移529,000个DAI。随后,前7笔共452,000 DAI已由中间地址转至0x4E5B2e(FixedFloat),第8笔,由中间地址转至0x6cC5F6(OKX),最后2笔共77,000 DAI由中间地址转至0xf1dA17(eXch)。 其次,在9月10日,通过UniswapV2将28,052 DAI兑换成17.3 ETH。 从9月8日开始到9月11号,陆续进行18笔交易,将1,800ETH全部转移至Tornado.Cash。 经过转移后,该地址最终还剩余盗取资金1078,087 DAI未转出。 中间地址(0x2ABdC2)资金转移: 该地址经一层资金转移,拥有2,000ETH。首先该地址于9月11日将2000ETH转移至中间地址(0x71C848)。 随后中间地址(0x71C848)分别在9月11日和10月1日,通过两次资金转移,总计20笔交易,每笔转移100ETH,总计转移2000ETH至Tornado.Cash。 中间地址(0x702350)资金转移 该地址经一层资金转移,拥有10,000 ETH。截至2023年10月08日,10,000 ETH仍在该地址账户中未被转移。 地址线索追踪:经过对诈骗者地址1(0x4c10a4)和诈骗者地址2(0x693b72)的历史交易进行分析,发现曾有一个EOA地址(0x846317)转账1.353 ETH至诈骗者地址2(0x693b72),而该EOA地址资金来源涉及与中心化交易所KuCoin和Binance的热钱包地址。 三、Rugpull与欺诈 2023年Rugpull欺诈事件发生的频率呈现较为显著的上升趋势,Q4达到73笔,损失金额为1,900万美元,平均单笔损失约为2.6万美元,全年Rugpull欺诈损失金额中占比最高的季度是Q2,其次是Q3,损失占比均超过30%。 2023年下半年,共计发生139起Rugpull事件和12起欺诈事件,分别造成7155万美元的损失和3.4亿美元的损失。 2023年下半年Rugpull事件主要发生在BNBChain上,达到91次,占比超过65%,损失达到2957万美元,损失占比41%。以太坊(44次)次之,损失739万美元。除以太坊和BNBChain外,8月Base链上发生BALD Rugpull事件,造成了严重损失,损失2560万美元。 图:Web 3 2023每季度发生Rugpull和Scam事件笔数和损失金额(百万美元) 图:Web 3 2023H2每月发生Rugpull和Scam事件笔数和损失金额 图:Web 3 2023H2不同链每月发生Rugpull事件笔数和损失金额 Rugpull欺诈工厂行为分析 在BNBChain上流行着一种Rug欺诈工厂模式,用于批量制造Rugpull代币并进行欺诈。让我们一起看看假SEI、X、TIP和Blue几个代币的Rugpull工厂欺诈行为模式。 (1)SEI 首先,假SEI代币所有者0x0a8310eca430beb13a8d1b42a03b3521326e4a58以1U的价格兑换了249枚假SEI。 然后, 0x6f9963448071b88FB23Fd9971d24A87e5244451A进行了批量买入和卖出操作。在买入和卖出操作下,代币的流动性明显增加,价格也发生了上涨。 通过钓鱼等方式宣传,诱惑大量用户购买,随着流动性增加,代币价格翻倍。 代币的价格达到一定的数值时,代币所有者进场sell操作进行Rugpull。可以从下图看出,进场收割时间段和价格都不同。 (2)假X、假TIP、假Blue 首先X、TIP和Blue代币所有者0x44A028Dae3680697795A8d50960c8C155cBc0D74用1U兑换了相应的代币。然后,和假Sei代币一样。 0x6f9963448071b88FB23Fd9971d24A87e5244451A批量的买入和卖出操作。在买入和卖出操作下,流动性明显增加,价格上涨。 然后通过钓鱼等一些途径宣传,诱惑大量的用户进行购买,随着流动性增加,代币价格也翻倍。 和假SEI一样,代币的价格达到一定的数值时,代币所有者进场sell操作进行Rugpull。可以从下图看出,进场收割时间段和价格都不同。 假SEI、假X、假TIP和假Blue几个代币的波动图如下: 我们从资金溯源、行为模式中可以得知: 在资金溯源内容中,代币工厂的创建者和代币创建者的资金来自多个EOA账户。不同账户之间也有资金往来,其中一些通过钓鱼地址转移,一些通过之前进行代币Rugpull行为获取,还有一些通过tornado cash等混币平台获得。采用多种方式进行资金转移旨在构建复杂错综的资金网络。不同地址还创建了多个代币工厂合约,并大量生产代币。 在分析代币Rugpull行为时,我们发现地址 0x6f9963448071b88FB23Fd9971d24A87e5244451A是其中一个资金来源。操作代币价格时,也采用了批量方式。地址0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3也充当了资金提供者的角色,向多个代币持有者提供相应的资金。。 通过分析可以得到,这一系列行为背后有一个分工明确的Web3诈骗团伙,构成了一个黑色产业链,主要涉及热点搜集、自动发币、自动交易、虚假宣传、钓鱼攻击、Rugpull收割等环节,多发生于BNBChain。所发的Rugpull虚假代币都与行业热点事件紧密相关,具有较强的迷惑性和鼓动性。用户需时刻提高警惕,保持理性,避免不必要的损失。 四、勒索软件 2023年勒索软件攻击威胁仍时时刻刻威胁着各机构和企业,勒索软件攻击变得越来越复杂,攻击者使用各种技术来利用组织系统和网络中的漏洞。不断扩散的勒索软件攻击继续对全球的企业组织、个人和关键基础设施构成重大威胁。攻击者正在不断调整和完善他们的攻击策略,利用泄露的源代码、智能化的攻击方案和新兴的编程语言来最大化他们的非法收益。 LockBit、ALPHV/BlackCat和BlackBasta是目前最活跃的勒索软件勒索组织。 图:勒索组织的受害者数量 目前,越来越多的勒索软件采取通过加密货币收款的方式,以Lockbit为例,最近被 LockBit 攻击的企业有:今年6月底台积电、10月波音公司、11月中国工商银行美国全资子公司等等,大多采用比特币收取赎金,并且LockBit收到赎金后会进行加密货币洗钱,下面我们以Lockbit为例对勒索软件洗钱模式进行分析。 根据ChainAegis分析,LockBit 勒索软件大多采用BTC收取赎金,使用不同收款地址,部分地址和收款金额整理如下,单笔勒索的BTC在0.07个到5.8个不等,约2,551美元到211,311美元不等。 图:LockBit部分收款地址和收款金额 以涉款金额最高的两个地址进行链上地址追踪与反洗钱分析: 勒索收款地址1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM; 勒索收款地址2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH。 (1)勒索收款地址1:1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM 根据下图分析,地址1(1Ptfhw)在2021年3月25日至2021年5月15日共计收到17笔链上交易,在收到资金后迅速转移资产,转移至13个核心中间地址。这些中间地址通过资金层层转移至6个二层中间地址,分别是:3FVzPX…cUvH、1GVKmU…Bbs1、bc1qdse…ylky、1GUcCi…vSGb、bc1qan…0ac4和13CPvF…Lpdp。 中间地址3FVzPX…cUvH,通过链上分析,发现其最终流向暗网地址361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p。 中间地址13CPvF…Lpdp以小额0.00022BTC转至CoinPayments,存在有500个类似的交易,合计0.21个BTC均被汇集至CoinPayments地址:bc1q3y…7y88,利用CoinPayments进行洗钱。 其他中间地址最终流入中心化交易所币安和Bitfinex。 图:地址1(1Ptfhw…hpeM)资金来源与资金流出明细 图:地址1(1Ptfhw…hpeM)资金流追踪 图:地址1(1Ptfhw…hpeM)涉及的中间地址和资金流明细 图:地址1(1Ptfhw…hpeM)交易图谱 (2)勒索收款地址2:1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH 受害者在2021年5月24日至2021年5月28日期间,通过11笔交易向勒索运营商LockBit支付4.16个BTC。随即,地址2(1HPz7rn...VvPH)迅速将勒索资金1.89枚BTC转到中间地址1: bc1qan…0ac4、1.84枚转到中间地址2: 112QJQj…Sdha、0.34枚转到中间地址3: 19Uxbt…9RdF。 最终中间地址2: 112QJQj…Sdha和中间地址3: 19Uxbt…9RdF均将资金转到中间地址1: bc1qan…0ac4。紧接着,中间地址1 bc1qan…0ac4继续资金转移,一小部分资金直接转入币安交易所,另外一部分资金通过中间地址层层转移,最终转移至币安和其他平台进行洗钱,具体交易明细和地址标签如下。 图:地址2(1HPz7rn...VvPH)资金来源与资金流出明细 图:地址2(1HPz7rn...VvPH)资金流追踪 图:地址2(1HPz7rn...VvPH)涉及的中间地址和资金流明细 LockBit 收到赎金后会进行加密货币洗钱,这种洗钱模式与传统洗钱方式不同,通常发生在区块链上,具有周期长、资金分散、高度自动化和复杂度高的特点。要进行加密货币监管和资金追踪,一方面要建设链上、链下的分析及取证能力,另一方面要在网络安全层面展开APT级的安全攻防,具备攻防一体的能力。 五、洗钱 洗钱(Money Laundering)是一种将非法所得合法化的行为,主要指将违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化。其行为包括但不限于提供资金账户、协助转换财产形式、协助转移资金或汇往境外。而加密货币——尤其是稳定币——因其低廉的转账成本,去地理化的特质以及一定的抗审查特性,在相当早的时间便已经被洗钱活动所利用,这也是导致加密货币被诟病的主要原因之一。 传统的洗钱活动往往会利用加密货币场外交易市场,进行从法币到加密货币,或从加密货币到法币的兑换,其中洗钱场景不同,形式也多样化,但不论如何这类行为的本质都是为了阻断执法人员对资金链路的调查,包括传统金融机构账户或加密机构账户。 与传统洗钱活动不同的是,新型的加密货币洗钱活动的清洗标的为加密货币本身,包括钱包、跨链桥、去中心化交易平台等在内的加密行业基础设施都会被非法利用。 图:近年洗钱金额 从2016年到2023年,加密货币洗钱总数达1477亿美元之多。从2020年开始洗钱金额以每年67%的速度不断增加,到2022年达到238亿美元,在2023年达到800亿美元之多,洗钱数目令人瞠目,加密货币反洗钱行动势在必行。 据ChainAegis平台统计,链上混币平台Tornado Cash的资金量自2020年1月以来一直保持着高速增长,目前已经有近362万个ETH存款于这个资金池中,存入总额达78亿美元,Tornado Cash已然变成以太坊最大的洗钱中心。但随着2022年8月份美国执法机构发文制裁Tornado Cash,Tornado Cash每周的存取款数成倍下跌,但因为Tornado Cash的去中心化属性,导致无法从源头制止,依旧还是有资金不断涌入该系统进行混币。 Lazarus Group(朝鲜APT组织)洗钱模式分析 国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专门针对特定目标进行长期的持续性网络攻击。朝鲜APT组织Lazarus Group就是非常活跃的一个APT团伙,其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。 目前已明确统计到的Lazarus攻击加密领域的安全事件和损失如下: 超过30亿美元的资金在网络攻击中被Lazarus盗取,据悉,Lazarus 黑客组织背后有着朝鲜战略利益的支撑,为朝鲜的核弹、弹道导弹计划提供资金。为此,美国宣布悬赏500万美元,对Lazarus黑客组织进行制裁。美国财政部也已将相关地址添加到OFAC特别指定国民(SDN)名单中,禁止美国个人、实体和相关地址进行交易,以确保国家资助的集团无法兑现这些资金,以此进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,2023年OFAC 也制裁了三名与 Lazarus Group 相关人员,其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员,而第三人 Sim Hyon Sop 提供了其他财务支持。 尽管如此,Lazarus已完成了超10亿美元的资产转移和清洗,他们的洗钱模式分析如下。以Atomic Wallet事件为例,去除黑客设置的技术干扰因素后(大量的假代币转账交易+多地址分账),可以得到黑客的资金转移模式: 图:Atomic Wallet 受害者1资金转移视图 受害者1地址0xb02d...c6072向黑客地址0x3916...6340转移304.36 ETH,通过中间地址0x0159...7b70进行8次分账后,归集至地址0x69ca...5324。此后将归集资金转移至地址0x514c...58f67,目前资金仍在该地址中,地址ETH余额为692.74 ETH(价值127万美元)。 图:Atomic Wallet 受害者2资金转移视图 受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3转移126.6万USDT,黑客将其分成三笔,其中两笔转移至Uniswap,转账总额为126.6万USDT;另一笔向地址0x49ce...80fb进行转移,转移金额为672.71ETH。受害者2向黑客地址0x0d5a...08c2转移2.2万USDT,该黑客通过中间地址0xec13...02d6等进行多次分账,直接或间接将资金归集至地址0x3c2e...94a8。 这种洗钱模式与之前的Ronin Network、Harmony攻击事件中的洗钱模式高度一致,均包含三个步骤: (1)被盗资金整理兑换:发起攻击后整理原始被盗代币,通过dex等方式将多种代币swap成ETH。这是规避资金冻结的常用方式。 (2)被盗资金归集:将整理好的ETH归集到数个一次性钱包地址中。Ronin事件中黑客一共用了9个这样的地址,Harmony使用了14个,Atomic Wallet事件使用了近30个地址。 (3)被盗资金转出:使用归集地址通过Tornado.Cash将钱洗出。这便完成了全部的资金转移过程。 除了具备相同的洗钱步骤,在洗钱的细节上也有高度的一致性: (1)攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在事件发生几天后开始后续洗钱动作。 (2)洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一。 通过分析,我们认为Lazarus的洗钱模式通常如下: (1)多账号分账、小额多笔转移资产,提高追踪难度。 (2)开始制造大量假币交易,提高追踪难度。以Atomic Wallet事件为例,27个中间地址中有23个账户均为假币转移地址,近期在对Stake.com的事件分析中也发现采用类似技术,但之前的Ronin Network、Harmony事件并没有这种干扰技术,说明Lazarus的洗钱技术也在升级。 (3)更多的采用链上方式(如Tonado Cash)进行混币,早期的事件中Lazarus经常使用中心化交易所获得启动资金或进行后续的OTC,但近期越来越少的使用中心化交易所,甚至可以认为是尽量在避免使用中心化交易所,这与近期的几起制裁事件应该有关。 六、制裁与监管 美国财政部外国资产控制办公室 (OFAC) 等机构以及其他国家的类似机构通过针对被视为对国家安全和外交政策构成威胁的国家、政权、个人和实体实施制裁。传统上,制裁的执行依赖于主流金融机构的合作,但一些不良行为者已转向加密货币来规避这些第三方中介机构,这给政策制定者和制裁机构带来了新的挑战。然而,加密货币固有的透明度,以及合规加密货币服务的意愿,特别是许多充当加密货币和法定货币之间纽带的中心化交易所,已经证明,在加密货币世界中实施制裁是可能的。 以下是2023年在美国受到制裁的与加密货币有联系的部分个人或实体的情况,以及 OFAC 制裁的原因。 全球最大稳定币背后的公司Tether于2023年12月9日宣布,将“冻结”美国外国资产控制办公室(OFAC)受制裁个人名单上受制裁个人钱包中的代币。Tether在其公告中将此举视为自愿步骤,以“主动防止任何潜在的Tether代币滥用并加强安全措施”。 这也表明对加密货币犯罪进行侦查和制裁已经进入实质阶段,核心企业与执法机构合作,能形成有效的制裁手段,监管和惩治加密货币犯罪。 2023年的Web3监管方面,香港也取得了巨大的进展,正吹响“合规发展”Web3与加密市场的号角。当新加坡金融管理局从2022年开始限制零售客户使用杠杆或信贷进行加密货币交易时,香港特区政府在发表《有关虚拟资产在港发展的政策宣言》,一些Web3人才和公司去往新的应许之地。 2023年6月1日,香港兑现宣言,发布《适用于虚拟资产交易平台营运者的指引》,虚拟资产交易平台牌照制度正式实施,并已发布了第1类(证券交易)和第7类(提供自动化交易服务)牌照。 目前,OKX、BGE、HKbitEX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、DFX Labs等机构正在积极申请虚拟资产交易平台牌照(VASP)。 特首李家超、财政司司长陈茂波等代表港府频繁发声,支持Web3落地香港,吸引各地加密企业、人才前去建设。政策扶植方面,香港引入虚拟资产服务提供者发牌制度,允许散户交易加密货币,启动千万美元规模的Web3 Hub 生态基金,并计划投入超 7 亿港元加快发展数码经济,推动虚拟资产产业发展,还成立了Web3.0 发展专责小组。 但,而高歌猛进之时,风险事件也乘势而来。无牌加密交易所 JPEX 涉案逾 10 亿港元,HOUNAX 诈骗案涉案金额过亿元,HongKongDAO 及 BitCuped 涉嫌虚拟资产欺诈行为……这些恶性事件引起了香港证监会、警方等高度重视。香港证监会表示,将与警方制定虚拟资产个案风险评估准则,并每周进行资讯交流。 相信,在不久的将来,更完善的监管和安全体系将助力香港,香港作为东西方金融重要枢纽,正对Web3张开怀抱。 About us SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务,并打造了链上智能风险识别平台ChainAegis,平台支持无限层级的深度图分析,能有效对抗Web3世界的高级持续性威胁(Advanced Persistent Threat,APT)。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、Polygon、Sui、OKX、imToken、ChainIDE等建立长期合作关系。 官网:https://www.sharkteam.org Twitter:https://twitter.com/sharkteamorg Discord:https://discord.gg/jGH9xXCjDZ Telegram:https://t.me/sharkteamorg 来源:金色财经lg...