Beosin：頂級黑客是如何對加密貨幣進行竊取和清洗的？

原文作者：Beosin

原文作者：BeosinEuler Finance不知道大家是否還記得今年3 月，發生的那筆接近2 億美金的

攻擊事件。

經過Euler Labs 與攻擊者的多輪協商之後，攻擊者已歸還從協議中盜取的所有資金。

起初Euler Finance 攻擊者為了混淆視聽，向某國家級背景黑客組織（也是Ronin 安全事件的黑客）轉移了100 枚ETH。隨後，該黑客組織對Euler 的攻擊者發送了一條鏈上通知，要求其解密一條加密信息。包含此通知的這筆交易中，這個國家級背景黑客組織向Euler 攻擊者發送了2 枚ETH。

但專家稱，該消息是一個網絡釣魚騙局，試圖竊取Euler 攻擊者錢包的私鑰。難道是典型的「黑吃黑」？據了解，

該國家級背景黑客組織長期以來一直對加密貨幣業務進行網絡攻擊，並組建了數個專業團隊——來進行網絡攻擊並清洗被盜資金。Beosin KYT圖片描述

圖片描述

圖片描述

圖源etda.or.th

最近國外情報公司分析了該國家級背景黑客組織（以下簡稱黑客組織）的攻擊活動，其中包含了對加密貨幣的攻擊。據研究人員稱，黑客組織會使用網絡釣魚技術試圖感染目標，然後攔截大筆加密貨幣轉賬，更改收款人地址，並將轉賬金額推至最大額，意圖在單筆交易中耗盡賬戶資金。

你的加密貨幣是如何被黑客竊取的？

圖片描述

圖片描述

圖片描述

圖源卡巴斯基

惡意安卓APP 盜取

國外情報公司觀察到黑客組織使用惡意Android 應用程序，這些應用程序針對希望獲得加密貨幣貸款的中國用戶，該應用程序和關聯的域名可能會收集用戶憑據。

黑客組織甚至會建立虛假的加密貨幣軟件開發公司，以誘騙受害者安裝看似合法的應用程序，這些應用程序在更新時會安裝後門。

專家認為，黑客組織目前正在積極測試新的惡意軟件傳遞方法，例如，使用以前未使用的文件類型（如新的Visual Basic Script、隱藏的Windows 批處理文件和Windows 可執行文件）來感染受害者。

替換Metamask 插件

圖片描述

圖片描述

圖片描述

圖片描述

圖片描述

圖片描述

圖片描述

圖片描述

圖源卡巴斯基

以防萬一，需注意瀏覽器是否選擇開發者模式， 如果使用的開發者模式，確保重要擴展來自網上商店：

社會工程手段攻擊

Beosin 安全研究團隊同樣發現，黑客組織可能會通過社會工程手段，如仿冒交易平台、發送欺詐性電子郵件等，來欺騙用戶將加密貨幣轉移到他們的賬戶中。

仿冒交易平台：偽裝成知名的加密貨幣交易平台，通過仿冒的網站或應用程序，欺騙用戶輸入自己的賬戶信息，從而竊取用戶的資產。

資金盤詐騙：創建虛假的加密貨幣資金盤，向用戶承諾高額回報，並引導用戶進行投資，然後將用戶的資金轉移到其他賬戶，並關閉資金盤。

社交媒體欺詐：利用社交媒體平台，如Twitter、Telegram、Reddit 等，偽裝成加密貨幣交易專家或投資人，發布虛假的投資建議或價格分析，引誘用戶進行投資，從而騙取資金。擴展閱讀：

加密大V 遭遇木馬病毒，其錢包大額資產被盜給我們哪些啟示？

黑客是如何清洗加密貨幣的？

圖片描述

圖片描述

圖片描述

圖片描述

Beosin KYT 黑客組織地址資金流向圖

那麼，什麼是Tornado Cash？

Tornado Cash 是一個以太坊上的隱私保護協議，旨在為用戶提供完全匿名的加密貨幣交易。它基於zk-SNARK（零知識證明）技術，使用戶可以在不暴露任何個人信息的情況下進行交易，從而保護他們的隱私。

Tornado Cash 的工作原理是將用戶的代幣混合在一起，使它們變得不可追踪。用戶首先將代幣發送到智能合約，然後智能合約將這些代幣與其他用戶的代幣一起混合。混合完成後，用戶可以從智能合約中提取相同數量的代幣，但這些代幣已被混合，無法與原始發送的代幣進行關聯。

Tornado Cash 支持以太幣（ETH）和ERC-20 代幣，用戶可以選擇不同的「混合池」進行交易。此外，Tornado Cash 也可以用於向其他人發送完全匿名的代幣，這使得它成為隱私保護的一個重要工具。

需要注意的是，Tornado Cash 僅提供隱私保護，而不是匿名性。用戶需要採取適當的措施來保護他們的身份信息，以免被其他方式追踪到。此外，使用Tornado Cash 也需要支付一定的交易費用，這些費用可能會高於普通交易的費用。

除此之外，常見的混幣器還有：

Blender.io：Blender 是一家成立於2017 年的比特幣區塊鏈上運行的虛擬貨幣混合器，也是第一個受到美國財政部製裁的混幣器。

CoinMixer：從2017 年開始就存在的老牌比特幣混幣協議，目前未受到政府制裁。

ChipMixer：由越南運營商提供的暗網加密貨幣混幣器，從2017 年至今洗掉價值超過30 億美元的加密貨幣，該網站和後端服務器於2023 年3 月15 日被聯邦警察局查封。

Umbra：Umbra 是一款可讓用戶在以太坊上進行私密轉帳的協議，特色在於只有收付雙方知道是誰收到這筆轉帳。

CoinJoin：CoinJoin 是歷史最為悠久的混幣器之一，專為比特幣（BTC）和比特幣現金（BCH）所開發。

除了專門的混幣器外，利用FixedFloat、sideshift、ChangeNow 等去中心化交易所兌換虛擬貨幣，也能達到洗錢的目的。

通過哈希算力租賃或云挖礦服務清洗

圖片描述

圖片描述

圖片描述

黑客組織通過哈希算力租賃服務洗錢（圖源Mandiant）

通過暗網市場清洗

黑客組織可能會使用暗網市場上的加密貨幣交易來進行洗錢。這些市場允許匿名交易，使得黑客可以在其中進行交易，以便將他們的黑錢變為可支配資金。

黑客使用暗網市場對加密貨幣進行洗錢的過程可以大致分為以下幾個步驟：

1 在暗網市場上尋找買家：黑客會在暗網市場上尋找想要購買加密貨幣的買家。這些市場上有許多匿名交易的工具和服務，使得黑客可以更輕鬆地進行交易，同時減少被揭露的風險。

2 準備好洗錢的加密貨幣：黑客需要將他們從非法活動中獲得的加密貨幣準備好，以便在交易時快速轉移資金，同時減少交易被追踪的風險。

3 完成交易：黑客會通過暗網市場上的匿名交易工具和服務完成交易，將加密貨幣轉移到買家的地址中。這些交易可能涉及多種加密貨幣和支付方式。

4 將洗錢所得轉移到合法渠道：黑客需要將他們從暗網市場上獲得的加密貨幣轉移到合法的渠道中，以便能夠使用這些資金進行日常生活和業務活動。這可能包括將加密貨幣轉換為法定貨幣，或將其投資於其他合法資產。

使用代理賬戶清洗

黑客組織可能會使用代理賬戶，以避免被追踪。這些代理賬戶可能由境外同夥或在海外的留學生等人員持有。

以下是可能的代理賬戶洗錢手法：

通過控制他人賬戶來洗錢：政府或其代理人員可能會控制他人的銀行賬戶來進行洗錢。這些受控制的賬戶可能是在境外的同胞或關係密切的個人賬戶。

購買現成的代理賬戶：另一種可能的手法是購買已有的代理賬戶。這些賬戶可能由境外同夥或在境外的代理人員創建和持有。