BTC:解密:美国司法部起诉中国OTC承兑商案件

编者按:本文来自PeckShield,Odaily星球日报经授权转载。2020年03月02日,美国司法部以阴谋和无证经营汇款为由,对名为田寅寅和李家东两位中国人发起了公诉,并冻结了他们的全部资产。理由是,他们二人在2017年12月至2019年04月期间,帮助朝鲜政府下辖黑客组织LazarusGroup提供了价值超1亿美元的洗币服务。由于美国司法部并未公布这些被盗资金的具体来源,涉及的加密货币交易路径,甚至当事人李家东还声称自己只是受害者,一时间这桩案件成了媒体和坊间热议的焦点。究竟是哪几个交易所被盗了,黑客具体路径又是怎样的,田和李两位承兑商是在哪个环节参与的?由于美国司法部并没有公布被盗交易所的名称和地址以及田和李涉案的关键细节,区块链安全公司PeckShield第一时间介入追踪研究分析,基于美国司法部仅公布的20个地址向上追溯、取证并以可视化图文方式还原整个案件的来龙去脉。

维基解密将与数字艺术家 Pak 合作推出NFT,以呼吁释放阿桑奇:2月1日消息,数字艺术家“ Pak ”昨日宣布将与维基解密(WikiLeaks)合作在以太坊上推出一系列NFT,NFT拍卖所得收入将用于支持Wau Holland基金会。Wau Holland基金会总部位于德国,以欧洲最大的黑客协议命名,已为维基解密筹集了数百万美元的捐款。该基金会呼吁释放维基解密创始人阿桑奇。

据悉,该NFT系列“Censored”将于 2 月 7 日推出,据 Pak 称,它将包括一个限量版的动态NFT,其图像会根据智能合约数据随时间变化。[2022/2/1 9:25:45]

如上图所示,事情经过简单总结为:北韩黑客组织LazarusGroup先通过钓鱼获取交易所私钥等手段,攻击了四个数字资产交易所;之后黑客用PeelChain等手法把所窃的资产转入另外4个交易所,VCE1到VCE4;再然后黑客又使用PeelChain把资产转移到负责的两位责任人的交易所VCE5和VCE6的账户中,最后换成法币完成整个过程。美国司法部这次起诉的就是最后一环负责的田寅寅和李家东。在接下来篇幅中,PeckShield将从被盗交易所源头说起、对黑客的具体路径进行系统性的拆解分析,为你复盘、解密整个案件的全过程。图文拆解:OTC承兑商案件

新闻和互联网自由倡导组织和加密用户一起支持维基解密创始人:2月10日消息,新闻和互联网自由倡导组织加入加密用户以支持维基解密创始人Julian Assange。本周一,美国公民自由联盟、电子前沿基金会、新闻自由基金会等24个机构签署了一封信,要求拜登政府放弃目前正在英国进行的对维基解密创始人Julian Assange的引渡程序。Assange是比特币支持者,其维基解密在比特币发展的最初几年发挥了重要作用。此前消息,Assange被捕以来维基解密已收到超40万美元的比特币捐款。(Cointelegraph)[2021/2/10 19:22:58]

通常情况下,黑客在攻击得手后,流程大体分为三步:

动态 | 维基解密比特币捐款地址追踪:一地址累计接收4042枚BTC并全部转出:维基解密目前有两个公开的比特币地址接受外界捐助。截止4月19日,其中一个较老的地址(1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v)已经累计接收了超过两万笔捐赠,累计接收4042.85649978枚BTC,并已经全部转出;另一个较新的地址(36EEHh9ME3kU7AZ3rUxBCyKR5FhR3RbqVo)共接受了261笔捐款,余额为4.69532962枚BTC,从接收的捐款地址来看,除个人地址外,有10笔来源于矿池Eligius,其余来自于诸如Bittrex.com、Xapo.com、HaoBTC.com等交易所。需注意的是,这并非意味着这些机构组织直接向维基解密捐款,很可能是其个人用户通过提币功能直接将比特币提到维基解密的捐款地址之下。(北京链安)[2019/4/23]

1)处置阶段:非法获利者将被盗资产整理归置并为下一步实施分层清洗做准备;2)离析阶段:Layering是一个系统性的交易,也是整个流程中最关键技术含量最高的一个过程,用于混淆资产来源和最终收益者,使得当初的非法资产变成“合法所得”;3)归并阶段:将洗白后的资产“合法”转走,至此之后,攻击者手里拥有的非法资产的痕迹已经被抹除干净,不会引起有关部门的关注。根据美国司法部提供的信息,有四个交易所被盗,PeckShield安全团队通过追溯田和李两人的20个关联比特币地址在链上数据,根据这些链上行为特性,结合PeckShield交易所被盗资料库的数据信息,最终锁定是下面四个交易所被盗:

以BCH为目标的勒索软件已经出现 支付赎金后无法解密文件:根据Bleeping Computer公司发布的报告,勒索软件已开始要求使用BCH进行赎金支付,该软件名为Thanatos。根据Bleeping Computer的报告,即使支付赎金,被勒索软件加密的文件也无法打开。安全研究人员建议用户定期以安全可靠的方式备份他们的文件,并使用合适的安全软件,同时在发件人未知时不要打开附件。[2018/3/2]

(注:Bter交易所在2017年倒闭后其资产由另一个交易所接管,我们这里仍使用Bter的名字)在弄清楚赃款源头之后,我们来看一下被盗资产的路径及流向情况,黑客总共将分成了三步:一、处置阶段:放置资产至清洗系统在Bter、Bithumb、Upbit、Youbit交易所被盗事件发生后的数月内,攻击者开始通过各种手段处置他们的非法获利。将获利资产流到自己可以控制的账号之中,为下一步的清洗做准备。二、离析阶段:分层、混淆资产逃离追踪离析过程中,攻击者试图利用PeelChain的技术手段将手里的资产不断拆分成小笔资产,并将这些小笔资产存入交易所。下图中我们挑选了一笔比较典型的拆分过程,对于第一笔2,000BTC的流程细述如下。

维基解密将接受更多种类的加密货币捐赠:据报道,Wikileaks(维基解密)将开始接受更多种类的加密货币捐赠,所有用户可以通过捐赠加密货币的方式为该媒体作出贡献。Wikileaks创始人朱利安·阿桑奇早些时候宣布,新闻自由基金会(FPF)是一个通过Visa,万事达和PayPal帮助Wikileaks处理金融捐赠事宜的组织,最近该组织突然暂停对Wikileaks提供这类服务。[2017/12/25]

1)攻击者的其中一个地址先前获利1,999BTC,先将这一笔大额资产拆分成1,500+500BTC;2)其中1,500BTC再拆分成三个各500BTC的地址,此时看到原先的2,000BTC被拆到了4个新地址之中,而原地址中的余额已经归零;3)500BTC转成20~50BTC的大小往Yobit交易所充值,并将剩下的资产找零到一个新的地址中,此时完成一笔充值;4)使用新地址重复步骤3,直到原始的500BTC全部存入交易所为止。这一过程中攻击者也往其它交易所充值记录,比如Bittrex、KuCoin、HitBTC。攻击者通过数百次这样子的拆分流程之后,原始的非法BTC资产全部流入了各大交易所,完成了初步操作。如下图所示,我们进一步分析发现,在完成初步操作后,狡猾的攻击者并没有直接转入自己的钱包,而是再次使用PeelChain手法把原始的非法所得BTC分批次转入OTC交易所进行变现。攻击者每次只从主账号分离出几十个BTC存入OTC帐号变现,经过几十或上百次的操作,最终成功将数千个BTC进行了混淆、清洗。

三、归并阶段:整合资产伺机套现攻击者在完成上一步的操作之后,开始尝试进行将非法所得进行OTC抛售套现。在上图描述的过程中,从2018年11月28日到12月20日,攻击者总共把3,951个BTC分一百多次存入田寅寅的Huobi和Coincola三个OTC帐号中变现,最后剩余的9.8个BTC目前还存放在攻击者中转地址上。

结语

综上,PeckShield安全团队通过追踪大量链上数据展开分析,理清了此次OTC承兑商事件的来龙去脉。受害交易所分别为Bter、Bithumb、Upbit、Youbit,据不完全统计损失至少超3亿美元,且在攻击得手后,黑客分三步实施了专业、周密、复杂的分散操作,最终成功实现了部分套现。PeckShield认为,黑客盗取资产后实施,不管过程多周密复杂,一般都会把交易所作为套现通道的一部分。这无疑对各大数字资产交易所的KYC和KYT业务均提升了要求,交易所应加强AML反和资金合规化方向的审查工作。PeckShield安全团队基于机器学习算法、威胁情报和暗网信息等积累了超6,000万+地址标签信息,掌握了大量了黑客团伙及在逃赃款关联地址和交易信息,并做了7*24小时链上异动预警服务。典型安全事件包括,PlusToken跑路资产、币安被盗资产、Upbit被盗资产等。这些赃款的每一步流向不仅牵动着投资者的心,更有可能对关联交易所资产产生污染,因此,交易所资产合规化接下来将是大势所趋,务必得引起高度重视。相关交易所若需开展资产合规化服务,可及时与我们取得联系。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-1:50ms