图 5: 黑客伪装成买家生意业务 ELF、BAT 代币
0x1e16253b81F418ee44430d94502Bc766fe8CaDba1、黑客在进攻乐成后,一般会将资产分手到多个地点或直接转移到新地点后寂静一段时间以避开风头;
图 3: 黑客伪装成买家
停止发文时,,黑客共计将 4,787 个 ETH 转入了火币生意业务所,PeckShield 正协助火币生意业务所对涉及赃款实施封堵。今朝另有 26,003 个 ETH 节制在黑客手中,存在进一步洗钱的大概。PeckShield 正一连追踪黑客下一步的洗钱行踪。
在上图中可以看到,买家与卖家的配对生意业务,仅接着卖家做了提现(withdraw)操纵,对应的着链上的生意业务记录
0x338fDf0D792F7708d97383EB476e9418B3C16ff1第二步:伪装交易黑客为了逃避资产追踪,一般会将大额资产,以小额多笔的形式分手到大量的地点中,再在各个地点长举办频繁的分手汇聚。而此次黑客回收了一种新方法,通过伪装成去中心化生意业务所的买家和卖家,试图以正常的挂单配对生意业务来逃避追踪。
伪装卖家 1 地点
0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f
图 8: 黑客资产汇总进入火币生意业务所
此次黑客预计是被市场回暖叫醒,先将 5,000 个 ETH 以每笔 1,000 个的方法转入一个新地点,并以此为起点,开始一轮洗钱操纵。假如仔细地看这五笔生意业务,会发明它们共隔断 16 小时,并且是在每转出一笔后,进入后续的伪装成买家卖家操纵。可见黑客分外的小心翼翼,先探探头,试试水再说。
图 2: 黑客将部门资产转移到一个新地点
从本次洗钱路径看,黑客是有通已往中心化生意业务所 EtherDelta,以 BAT、ELF 等代币配对生意业务,举办伪装交易,逃离追踪的想法。不外,纯链上生意业务信息清晰可查,黑客虽魔高一尺,但白帽安详人员布下了天罗地网,能层层分解,抽丝剥茧清晰还原黑客洗钱的全进程。
5 月 15 日新西兰加密钱币生意业务所 Cryptopia 公布停运并清算,并暗示已指派正大管帐师事务所对资产举办清算,将一连数月。本年 1 月该生意业务所遭遇持续两次的黑客进攻,损失高出 1600 万美元。本文将深度还原黑客如何洗掉从 Cryptopia 哪里盗来的黑币的。
图 1: 黑客偷取的 ETH 完整流向图
伪装卖家 2 地点
0x3d40897675A7467A73610c3ABbBc8292835e67F2
伪装买家地点
PeckShield 安详人员梳理黑客洗钱路径发明
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。