Slow Mist: แฮ็กเกอร์ฟอกเหรียญผ่าน Tornado.Cash ได้อย่างไร

ชื่อระดับแรก

ความรู้พื้นฐาน

ชื่อระดับแรก

การวิเคราะห์กรณี

สิ่งที่เราต้องการวิเคราะห์ในวันนี้คือกรณีจริง เมื่อแพลตฟอร์มของเหยื่อพบเรา (ไม่สะดวกในการเปิดเผยรายละเอียด) เงินที่ถูกขโมยในเครือข่ายทั้งสามของ Ethereum, BSC และ Polygon จะถูกโอนไปยัง Tornado เงินสดทั้งหมดโดย แฮ็กเกอร์ ดังนั้นเราจึงวิเคราะห์ส่วน Tornado.Cash เป็นหลัก

ที่อยู่แฮ็กเกอร์:

ชื่อเรื่องรอง

0x489...1F4(Ethereum/BSC/Polygon)

0x24f...bB1(BSC)

ส่วน Ethereum

ด้วยความช่วยเหลือของระบบติดตามต่อต้านการฟอกเงิน SlowMist MistTrack เราจะทำการวิเคราะห์คุณลักษณะทั่วไปของที่อยู่ก่อน

จากผลลัพธ์ที่แสดงบางส่วน จะเห็นได้ว่าแฮ็กเกอร์ใช้บริดจ์และมิกเซอร์ในการทำธุรกรรมมากขึ้น ซึ่งเป็นสิ่งสำคัญมากสำหรับเราในการวิเคราะห์ภาพเหมือนของแฮ็กเกอร์

ต่อไป เราทำการวิเคราะห์เชิงลึกเกี่ยวกับเงินทุนและพฤติกรรมบน Ethereum: จากการวิเคราะห์ระบบติดตามการต่อต้านการฟอกเงิน SlowMist MistTrack แฮ็กเกอร์ได้โอน 2,450 ETH ให้กับ Tornado.Cash ในรูปแบบ 5x10 ETH+ 24x100 ETH และโอน 198 ETH ไปที่ FixedFloat ซึ่งทำให้เราสามารถติดตามส่วน Tornado.Cash เพื่อจับตาดูได้

เนื่องจากเราต้องการพยายามติดตามที่อยู่ที่แฮ็กเกอร์โอนมาจาก Tornado.Cash เราต้องเริ่มจากเวลาที่โอนเงินครั้งแรกบน Ethereum ไปยัง Tornado.Cash เราพบว่าเวลาระหว่าง 10 ETH แรกถึง วินาทีที่ 10 ETH ช่วงเวลาค่อนข้างใหญ่ ดังนั้นมาเริ่มการวิเคราะห์ด้วยช่วงเล็ก ๆ ที่ 100 ETH

ค้นหาธุรกรรมที่สอดคล้องกับสัญญา Tornado.Cash:100 ETH และพบว่ามีที่อยู่จำนวนมากที่โอนมาจาก Tornado.Cash หลังจากการวิเคราะห์ SlowMist MistTrack เราได้คัดกรองที่อยู่ที่ตรงกับไทม์ไลน์และลักษณะการทำธุรกรรม แน่นอนว่ายังมีที่อยู่อีกมากซึ่งเราต้องวิเคราะห์กันต่อไป แต่ใช้เวลาไม่นานสำหรับที่อยู่แรก (0x40F...952) ที่ทำให้เราสงสัย

จากการวิเคราะห์ของ MistTrack ที่อยู่ (0x40F...952) โอน ETH ที่โอนจาก Tornado.Cash ไปยังที่อยู่ (0x8a1...Ca7) จากนั้นแบ่ง ETH ออกเป็นสามโอนไปยัง FixedFloat

แน่นอนว่านี่อาจเป็นเรื่องบังเอิญ เราจำเป็นต้องตรวจสอบต่อไป

จากการวิเคราะห์อย่างต่อเนื่องพบว่าที่อยู่สามแห่งมีลักษณะเหมือนกัน:

A→B→(หลายตัว) FixedFloat

A → (หลายตัว) FixedFloat

ชื่อเรื่องรอง

ส่วนรูปหลายเหลี่ยม

ดังที่แสดงในรูปด้านล่าง แฮกเกอร์โอนส่วนหนึ่งของ 365,247 MATIC ที่เขาได้รับไปยัง Tornado.Cash ใน 7 ครั้ง

MATIC ที่เหลืออีก 25,246.722 ถูกโอนไปยังที่อยู่ (0x75a...5c1) จากนั้นติดตามเงินส่วนนี้ เราพบว่าแฮ็กเกอร์โอน 25,246.721 MATIC ไปยัง FixedFloat ซึ่งทำให้เราสงสัยว่าแฮ็กเกอร์จะใช้วิธีเดียวกันในการ ซักเหรียญบนรูปหลายเหลี่ยม

อันดับแรก เราพบสัญญา Tornado:100,000 MATIC ที่สอดคล้องกับธุรกรรมสามรายการล่าสุดในรูปด้านบน และพบว่ามีที่อยู่ไม่มากนักที่โอนจากสัญญา Tornado.Cash ดังนั้นเราจึงสามารถวิเคราะห์ได้ทีละรายการ

ในไม่ช้า เราก็พบที่อยู่แรก (0x12e...69e) ที่เราคิดว่ามีปัญหา เราเห็นที่อยู่ FixedFloat ที่คุ้นเคย ไม่เพียงแต่ fixedFloat เท่านั้นที่โอน MATIC ไปยังที่อยู่ (0x12e...69e) แต่ยังรวมถึงที่อยู่รับเงินที่โอนจากที่อยู่ (0x12e...69e) ก็โอน MATIC ไปยัง FixedFloat ด้วย

ชื่อเรื่องรอง

ส่วน BSC

ลองวิเคราะห์ส่วน BSC ด้านล่าง มีที่อยู่ของแฮ็กเกอร์สองแห่งใน BSC มาดูที่อยู่กันก่อน (0x489…1F4):

ที่อยู่ของแฮ็กเกอร์ได้โอน 1,700 ETH ไปยัง Tornado.Cash ใน 17 ครั้ง และช่วงเวลาค่อนข้างสม่ำเสมอ เมื่อเราคิดว่าแฮ็กเกอร์จะทำซ้ำกลอุบายของพวกเขา เราพบว่าไม่ใช่กรณีนี้ ในทำนองเดียวกัน หลังจากวิเคราะห์และคัดกรอง SlowMist MistTrack เราก็คัดกรองที่อยู่ที่สอดคล้องกับไทม์ไลน์และลักษณะการทำธุรกรรม จากนั้นจึงทำการพัฒนาทีละรายการ

ระหว่างการวิเคราะห์ ที่อยู่ (0x152…fB2) ดึงดูดความสนใจของเรา ตามที่แสดงในภาพ ตาม SlowMist MistTrack ที่อยู่นี้โอน ETH ที่โอนจาก Tornado.Cash ไปยัง SimpleSwap

เมื่อวิเคราะห์อย่างต่อเนื่องพบว่าแฮ็กเกอร์ได้เปลี่ยนแพลตฟอร์มแต่ลักษณะวิธีการยังเหมือนเดิมคือ

A→SimpleSwap

A→B→SimpleSwap

ที่อยู่แฮ็กเกอร์อื่น (0x24f…bB1) ถูกโอนไปยัง Tornado.Cash ในหน่วย 10 BNB

สรุป

สรุป

บทความนี้ส่วนใหญ่เริ่มต้นด้วยกรณีจริง วิเคราะห์และสรุปว่าแฮ็กเกอร์พยายามใช้ Tornado.Cash เพื่อล้างเงินที่ถูกขโมยในเครือข่ายต่างๆ อย่างไร หลังจากที่สกุลเงินถูกโอนไปยังแพลตฟอร์มสกุลเงินผสมที่ใช้กันทั่วไป (FixedFloat/SimpleSwap/Sideshift.ai) โดยตรงหรือผ่านที่อยู่กลาง แน่นอนว่านี่เป็นเพียงหนึ่งในวิธีการฟอกเหรียญผ่าน Tornado.Cash และยังมีวิธีอื่นๆ อีกมากมายที่รอให้เราค้นพบ

ในการวิเคราะห์ผลลัพธ์อย่างมีประสิทธิภาพและแม่นยำยิ่งขึ้น คุณต้องใช้เครื่องมือ ด้วยแท็กที่อยู่กระเป๋าเงินมากกว่า 200 ล้านแท็ก ระบบติดตามต่อต้านการฟอกเงิน SlowMist MistTrack สามารถระบุที่อยู่กระเป๋าเงินต่างๆ ของแพลตฟอร์มการซื้อขายหลักทั่วโลก เช่น ที่อยู่เติมเงินของผู้ใช้ ที่อยู่กระเป๋าเงินอุ่น ที่อยู่กระเป๋าเงินร้อน ที่อยู่กระเป๋าเงินเย็น เป็นต้น ระบบติดตามการต่อต้านการฟอกเงิน MistTrack สามารถวิเคราะห์ฟีเจอร์และแสดงพฤติกรรมในที่อยู่กระเป๋าเงินใด ๆ ซึ่งมีบทบาทสำคัญในการวิเคราะห์และประเมินการต่อต้านการฟอกเงิน การสนับสนุนทางเทคนิคที่แข็งแกร่ง