小編：記得

來(lái)源：慢霧科技

近期，區(qū)塊鏈安全事件頻發(fā)。無(wú)論是DeFi、跨鏈橋、NFT還是交易所，都損失慘重。除了對(duì)事件發(fā)生的原因進(jìn)行技術(shù)分析以警示，我們也應(yīng)將視線看向被盜資產(chǎn)方面。加密貨幣的匿名屬性，使其難免被用于洗錢和資產(chǎn)轉(zhuǎn)移。隨著各國(guó)政策的更新與完善，擁抱監(jiān)管與合規(guī)必是未來(lái)的一個(gè)趨勢(shì)。因此，對(duì)被盜資產(chǎn)流向及攻擊者洗幣手法進(jìn)行分析、對(duì)鏈上動(dòng)態(tài)進(jìn)行實(shí)時(shí)監(jiān)測(cè)顯得尤為重要。

慢霧AML團(tuán)隊(duì)利用旗下MistTrack反洗錢追蹤系統(tǒng)，以近期發(fā)生的其中兩個(gè)事件為例，通過(guò)剖析攻擊者的洗錢手法及資產(chǎn)的流向來(lái)窺見(jiàn)一二。

XSURGE攻擊事件

概述

2021年8月17日3:13AM，XSURGE官方發(fā)布關(guān)于SurgeBNB漏洞的聲明，稱由于SurgeBNB合約不可更改且已被放棄，因此無(wú)法修補(bǔ)該漏洞，但強(qiáng)烈建議用戶盡快移出SurgereBNB，該漏洞隨時(shí)可能被攻擊者觸發(fā)。不幸的是，在3:59AM，官方就表示遭遇攻擊。

事件相關(guān)地址

通過(guò)比對(duì)相似合約，我們還發(fā)現(xiàn)了其他攻擊者信息。

資金流向分析

經(jīng)過(guò)分析，本次事件是由于其合約的sell函數(shù)導(dǎo)致了重入漏洞，也就是說(shuō)攻擊者通過(guò)不斷買賣的操作，以更低的代幣價(jià)格獲取到了更多的SURGE代幣。那攻擊者具體是怎樣進(jìn)行獲利并轉(zhuǎn)移資金的呢？

我們以攻擊者1創(chuàng)建的合約為例來(lái)分析攻擊者的獲利過(guò)程。首先，8月16日19:39:29(UTC)，攻擊者1在幣安智能鏈(BSC)創(chuàng)建了攻擊合約1，閃電貸借出10,000BNB后購(gòu)買SURGE代幣，多次以“賣出再買入”的方式來(lái)回交易，最后獲利12,161BNB。接著分別創(chuàng)建了合約2-6，以同樣的方式獲利，最終攻擊者1獲利13,112BNB。

攻擊成功后，黑客并沒(méi)有持幣觀望等待時(shí)機(jī)，而是直接開(kāi)始轉(zhuǎn)移資金，想洗錢獲利。經(jīng)過(guò)兩層大的轉(zhuǎn)移，黑客輕而易舉地將資金轉(zhuǎn)移到了交易所。

第一層洗幣：將資金不等額分散到多個(gè)地址

攻擊者先是將獲利的13,112BNB隨機(jī)分成了兩大部分，將一部分BNB以不等的金額陸續(xù)轉(zhuǎn)出到不同地址，將另一部分BNB先通過(guò)PancakeSwap、1inch換成ETH后再轉(zhuǎn)出到不同地址，最終13,112BNB被轉(zhuǎn)移到下圖的30個(gè)不同地址。

第二層洗幣：將資金直接或分批兌換轉(zhuǎn)移

經(jīng)過(guò)對(duì)30個(gè)地址資金轉(zhuǎn)移的不斷分析，我們漸漸總結(jié)

熱點(diǎn)：平臺(tái)