最MC论坛

标题: 新闻慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件 [打印本页]

作者: 五连环画 时间: 2022-1-5 09:33
标题: 新闻慢雾：复盘 Liquid 交易平台被盗 9000 多万美元事件

北京时间 2021 年 8 月 19 日 10:05，日本加密交易平台 L 称其热钱包遭到攻击。从官方发布的报告来看，L 交易平台上被盗币种涉及 BTC、ETH、ERC20 代币、TRX、TRC20 代币、XRP 等超 70 种，币种之多，数额之高，令人惊叹。

imtoken官网的最新消息可以到我们平台网站了解一下，也可以咨询客服人员进行详细的解答！https://www.imtoken.vote

慢雾 AML 团队利用旗下 MT 反洗钱追踪系统分析统计，L 共计损失约 9,15 万美元（按事发当天价格计），包括约 462 万美元的 BTC （1075 枚）、,216 万美元的 ETH （10,85127 枚）、4,290 万美元的 ERC20 代币、2 万美元的 TRX （2,600,917 枚）、160 万美元的 TRC20 （1,609,6596 枚）、1,09 万美元的 XRP （11,508,516 枚）。（按文章发布当天价格计）

慢雾 AML 团队全面追踪了各币种的资金流向情况，也还原了攻击者的洗币手法，接下来分几个部分向大家介绍。

BTC 部分

攻击者相关地址

慢雾 AML 团队对被盗的 BTC 进行全盘追踪后发现，攻击者主要使用了“二分法（P C）”的洗币手法。所谓“二分法”，是指地址 A 将资金转到地址 B 和 C，而转移到地址 B 的数额多数情况下是极小的，转移到地址 C 的数额占大部分，地址 C 又将资金转到 D （小额）和 E （大额），依次类推，直至形成以很小的数额转移到很多地址的情况。而这些地址上的数额，要么以二分法的方式继续转移，要么转到交易平台，要么停留在地址，要么通过 W 等混币平台混币后转出。

以攻击者地址（1F7）为例：

据 MT 反洗钱追踪系统显示，共 1075 BTC 从 L 交易平台转出到攻击者地址（1F7），再以 8~21 不等的 BTC 转移到下表 7 个地址。

为了更直观的展示，我们只截取了地址（1JG）资金流向的一部分，让大家更理解“二分法”洗币。

以图中红框的小额转入地址为例继续追踪，结果如下：

可以看到，攻击者对该地址继续使用了二分法，00027 BTC 停留在地址（1BDD），而 0014 BTC 转移到 K 交易平台。

攻击者对其他 BTC 地址也使用了类似的方法，这里就不再重复讲解。慢雾 AML 团队将对资金停留地址进行持续监控及标记，帮助客户做出有效的事前防范，规避风险。

ETH 与 ERC20 代币部分

攻击者相关地址

经过慢雾 AML 团队对上图几个地址的深度分析，总结了攻击者对 ETHERC20 代币的几个处理方式。

1 部分 ERC20 代币通过 U、B、SS、1 等平台将代币兑换为 ETH 后最终都转到地址 1。

2 部分 ERC20 代币直接转到交易平台，部分 ERC20 代币直接转到地址 1 并停留。

攻击者将地址 1 上的 ETH 不等额分散到多个地址，其中 16\,660 ETH 通过 TC 转出。

地址 2 的 5827 ETH 仍握在攻击者手里，没有异动。

4 攻击者分次将部分资金从 T 转出，分别将 5\,600 ETH 转入 6 个地址。

其中 5,40 ETH 转到不同的  个地址。

另外 170 ETH 转到不同的  个交易平台。

攻击者接着将  个地址的 ETH 换成 BTC，以跨链的方式跨到 BTC 链，再通过前文提及的类似的“二分法”将跨链后的 BTC 转移。

以地址（0C4C7F）为例：

以跨链后的其中一个 BTC 地址（14N1H）为例。根据 MT 反洗钱追踪系统如下图的显示结果，该地址通过 BTC 转入的 877 BTC 均通过混币平台 W 转出。

TRXTRC20 部分

攻击者地址

TSDZNTP1CRDRPEWX

资金流向分析

据 MT 反洗钱追踪系统分析显示，攻击者地址上的 TRC20 兑换为 TRX。

再将所有的 TRX 分别转移到 H、B 交易平台。

XRP 部分

攻击者相关地址

B7UG7HTBEXEM4

资金流向分析

攻击者将 11,508,495 XRP 转出到  个地址。

接着，攻击者将  个地址的 XRP 分别转到 B、H、P 交易所。

总结

本次 L 交易平台被盗安全事件中，攻击者以迅雷不及掩耳之速就将一个交易平台内超 70 种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出。

截止目前，大部分被盗资产还控制在攻击者手中。21,244,26 枚 TRX 转入交易平台，11,508,516 枚 XRP 转入交易平台，攻击者以太坊地址 2 （05 ）存有 5827 ETH，以太坊地址 1 （0557946）仍有 89 ETH 以及价值近 540 万美元的多种 ERC20 代币，慢雾 AML 团队将持续对异常资金地址进行时监控与拉黑。

攻击事件事关用户的数字资产安全，随着被盗数额越来越大，资产流动越来越频繁，加速合规化成了迫在眉睫的事情。慢雾 AML 团队建议各大交易平台接入慢雾 AML 系统，在收到相关“脏币”时会收到提醒，可以更好地识别高风险账户，避免平台陷入涉及洗钱的境况，拥抱监管与合规的大势。

欢迎光临最MC论坛 (http://www.zuimc.com/)