ETH:Cryptopia 倒閉背后，黑客究竟如何洗白盜來的幣？_ETHSTK價格

5月15日新西蘭加密貨幣交易所Cryptopia宣布停運并清算，并表示已指派正大會計師事務所對資產進行清算，將持續數月。今年1月該交易所遭遇連續兩次的黑客攻擊，損失超過1600萬美元。本文將深度還原黑客如何洗掉從Cryptopia那里盜來的黑幣的。

原文標題：《圖文剖析Cryptopia交易所黑客洗錢行蹤》作者：PeckShield團隊

2019年1月，黑客攻擊了新西蘭的虛擬貨幣交易所Cryptopia，盜取了以ETH為主的數字資產之后銷聲匿跡。近日，隨著幣價的攀升，該黑客在沉寂了數月后，開始密集的洗錢行動。據PeckShield數字資產護航系統數據顯示，近兩天來，該黑客已經將4,787個ETH轉入了火幣交易所，而且仍有26,003個ETH等待被洗時機。

PeckShield安全人員梳理黑客洗錢路徑發現

CryptoPunk #6940以215ETH的價格成交:金色財經報道，數據顯示，CryptoPunk #6940以215ETH的價格成交。[2023/4/9 13:52:22]

1、黑客在攻擊成功后，一般會將資產分散到多個地址或直接轉移到新地址后沉寂一段時間以避開風頭；2、在洗錢過程中，黑客會先轉移出少部分資產進行嘗試，尋找最佳洗錢方式；3、在少部分資產嘗試清洗成功后，才會處理剩余資產，否則會繼續沉寂等待時機。

從本次洗錢路徑看，黑客是有通過去中心化交易所EtherDelta，以BAT、ELF等代幣配對交易，進行偽裝買賣，逃離追蹤的想法。不過，純鏈上交易信息清晰可查，黑客雖魔高一尺，但白帽安全人員布下了天羅地網，能層層剖析，抽絲剝繭清晰還原黑客洗錢的全過程。

一圖概覽黑客洗錢全過程：

Crypto.com交易所將于11月1日進行GEN 3.0更新:10月24日消息，據官方公告，Crypto.com交易所將于北京時間11月1日8:00開始進行GEN 3.0更新，預計將持續6至8小時。

期間交易所內現貨、保證金以及衍生品交易將無法使用，三者之間也無法進行資產劃轉。此外，所有未成交訂單將被取消，也不接受新的訂單。新版本將改善交易體驗、降低保證金要求、支持跨市場抵押品等。[2022/10/24 16:36:55]

圖1:黑客盜取的ETH完整流向圖

從圖1中能看到，黑客先將部分數字資產轉移到一個地址，再偽裝成買家和賣家，在去中心化交易所EtherDelta中買賣交易，試圖逃避追蹤，之后將資產再次匯聚到一起進入火幣交易所。進一步的細節如下：

第一步：資產轉移

加密金融科技公司FOMO Pay完成1300萬美元A輪融資，Jump Crypto領投:8月18日消息，總部位于新加坡的加密金融科技公司FOMOPay宣布完成1300萬美元A輪融資，本輪融資由JumpCrypto領投，HashKey Capital、Antalpha Ventures、AbInitio Capital和Republic Capital參投。

FOMOPay的愿景是成為快數字經濟中領先的全球銀行服務提供商，支持包括加密貨幣在內的數字支付服務，并與提供央行數字貨幣（CBDC）項目的監管機構密切合作。（vulcanpost）[2022/8/18 12:33:13]

在交易所等巨額資產出現安全問題后往往引來無數媒體關注，所有人都會緊盯資產流向，而此時黑客通常會沉寂數月乃至一年。在認為避開風頭之后，抓住一個最佳時機，開始銷贓洗錢。

The Crypto?Lark主持人：NFT將是加密市場下一個巨大的增長領域:The Crypto?Lark主持人、加密貨幣投資者Lark Davis將揭開加密領域的下一個大事件，他認為這有可能引發100倍或約10000%的大幅增長。

Davis表示，隨著加密市場的發展和擴展，它將繼續提供新的和盈利的機會，并超越火熱的DeFi領域。“因此，NFT是目前備受關注的一個領域，可能會成為一個巨大的增長領域，這無疑是我們作為投資者可能希望關注的一個領域。”（The Daily Hodl）[2020/9/23]

此次黑客估計是被市場回暖喚醒，先將5,000個ETH以每筆1,000個的方式轉入一個新地址，并以此為起點，開始一輪洗錢操作。如果仔細地看這五筆交易，會發現它們共間隔16小時，而且是在每轉出一筆后，進入后續的偽裝成買家賣家操作。可見黑客格外的小心翼翼，先探探頭，試試水再說。

幣安天使投資方JRR Crypto正式宣布參加EOS超級節點競選:今天，幣安天使投資方JRR Crypto正式宣布參加EOS超級節點競選。

JRR Crypto成立于2016年，在瑞士注冊，致力于打造全球首個區塊鏈世界的“分布式投行”，下設投資銀行、基金、私人銀行、交易所四大業務板塊。EOS JRR由JRR Crypto發起成立，致力于打造基于EOS的應用生態社區，并提供包括項目孵化、開發培訓及社群運營在內的一系列服務。

針對本次超級節點競選，EOS JRR推出了硬件錢包獎勵、Dapp專項孵化基金、孵化項目收益代幣空投、建立無上幣費交易所以及EOS大學等若干方案吸引EOS持幣人投票。[2018/4/13]

圖2:黑客將部分資產轉移到一個新地址

第二步：偽裝買賣

黑客為了逃避資產追蹤，一般會將大額資產，以小額多筆的形式分散到大量的地址中，再在各個地址上進行頻繁的分散匯聚。而此次黑客采用了一種新方式，通過偽裝成去中心化交易所的買家和賣家，試圖以正常的掛單配對交易來逃避追蹤。

圖3:黑客偽裝成買家

圖4:黑客控制的地址買賣

黑客將每次收到的1,000ETH，再散成以約500個ETH一筆進入去中心化交易所，開始買賣。從圖3和圖4中發現，黑客以普通用戶的方式，不是僅用一兩筆，而是通過大量多筆的交易，完成從買家到賣家的資產轉移。

偽裝買家賣家，買賣BAT、ELF代幣

下圖中可以看到黑客控制多個帳號偽裝成買家和賣家將資產倒手，圖中是黑客成交的多筆ELF和BAT代幣的訂單。

圖5:黑客偽裝成買家交易ELF、BAT代幣

具體來看買家在去中心化交易所EtherDelta合約上的一條交易記錄

圖6:買家在EtherDelta上的交易記錄

在上圖中可以看到，買家與賣家的配對交易，僅接著賣家做了提現操作，對應的著鏈上的交易記錄

截圖如下：

圖7:賣家在EtherDelta上的提現記錄

第三步：再次匯聚，進入交易所

通過去中心化交易所的倒手交易后，黑客已認為能夠避免資產被追蹤，又將獲得的ETH匯總到一個地址，并分批次進入火幣交易所。

圖8:黑客資產匯總進入火幣交易所

至此，黑客最初的5,000枚ETH，分批匯聚再進入去中心化交易所，經過倒手買賣，再次匯聚進入火幣，看似天衣無縫的操作，實則在鏈上留下了諸多痕跡。

截至發文時，黑客共計將4,787個ETH轉入了火幣交易所，PeckShield正協助火幣交易所對涉及贓款實施封堵。目前尚有26,003個ETH控制在黑客手中，存在進一步洗錢的可能。PeckShield正持續追蹤黑客下一步的洗錢行蹤。

今年1月份Cryptopia交易所遭黑客攻擊損失共計30,790個ETH。時隔3個月，當時的ETH行情價格也已經翻番了，黑客覺得時機差不多成熟了，開始活躍出來洗錢了。整體來看，黑客此次行動還是很小心謹慎的，通過分散轉移賬號、偽裝買賣等多種手段來逃離追蹤，但區塊鏈世界，一切鏈上行為都有跡可循，安全公司更道高一丈。

黑客洗錢地址一覽

黑客洗錢初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

偽裝買家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

偽裝賣家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

偽裝賣家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

資產匯總地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

PeckShield

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627832.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

BCH硬分叉后重組并非51%攻擊，而是從小偷那里奪回應有的幣

下一篇：

監控地址，阻斷黑幣，保護聲譽：慢霧AML為交易所開啟「鷹眼」

Tags：ETHCRYPCRYPTCRYETHSTK價格Cryptocurrency Top 10 Tokens IndexCryptosTribeCryptoMechaKing

火必交易所