原文作者:Beosin
不知道大家是否还记得今年3月,发生的那笔接近2亿美金的EulerFinance攻击事件。
经过Euler?Labs与攻击者的多轮协商之后,攻击者已归还从协议中盗取的所有资金。
起初EulerFinance攻击者为了混淆视听,向某国家级背景黑客组织转移了100枚ETH。随后,该黑客组织对Euler的攻击者发送了一条链上通知,要求其解密一条加密信息。
包含此通知的这笔交易中,这个国家级背景黑客组织向Euler攻击者发送了2枚ETH。但专家称,该消息是一个网络钓鱼局,试图窃取Euler攻击者钱包的私钥。
难道是典型的「黑吃黑」?据了解,该国家级背景黑客组织长期以来一直对加密货币业务进行网络攻击,并组建了数个专业团队——来进行网络攻击并清洗被盗资金。
今天,我们就结合BeosinKYT反与分析平台,?起底这个国家级黑客都是如何对加密货币进行攻击和清洗的?
以下是该国家级背景黑客部分APT组织名信息:
图源etda.or.th
最近国外情报公司分析了该国家级背景黑客组织的攻击活动,其中包含了对加密货币的攻击。据研究人员称,黑客组织会使用网络钓鱼技术试图感染目标,然后拦截大笔加密货币转账,更改收款人地址,并将转账金额推至最大额,意图在单笔交易中耗尽账户资金。
Beosin:Palmswap被攻击是因为添加和删除流动性的计算方法有问题:7月25日消息,Beosin Alert发推称,Palmswap被攻击是因为添加和删除流动性的计算方法有问题,当攻击者添加流动资金时,USDP和PLP之间的汇率为 1:1。 然而,当移除相同数额的PLP时,攻击者能够将其兑换为1.9 倍的USDP,从而获利。
此前消息,Palmswap遭攻击,损失超90万美元。[2023/7/25 15:56:43]
你的加密货币是如何被黑客窃取的?
鱼叉邮件作为诱饵
黑客组织使用来自虚假或性角色的鱼叉式网络钓鱼电子邮件来接近他们的目标,在这些网站中包含虚假登录页面,诱受害者输入帐户凭据。
下图是黑客组织使用过的钓鱼邮件诱饵,针对加密货币专业人士:
图源卡巴斯基
恶意安卓APP盗取
国外情报公司观察到黑客组织使用恶意Android应用程序,这些应用程序针对希望获得加密货币贷款的中国用户,该应用程序和关联的域名可能会收集用户凭据。
黑客组织甚至会建立虚假的加密货币软件开发公司,以诱受害者安装看似合法的应用程序,这些应用程序在更新时会安装后门。
专家认为,黑客组织目前正在积极测试新的恶意软件传递方法,例如,使用以前未使用的文件类型来感染受害者。
Beosin:CS (CS)token遭受到攻击,损失金额截至目前约71.4万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月24日,bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下:
1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。
2、攻击者开始卖出3000 CS代币,这一步会设置sellAmount。
3、攻击者通过给自己转账,会触发sync(),在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2,3步持续减少pair中的CS代币数量,拉升CS代币的价格,使得后续一步可以兑换出更多的BSC-USD。
借入80,000,000 BSC-USD,兑换出80,954,000 BSC-USD,偿还80,240,000 BSC-USD,获利约714,000 BSC-USD。[2023/5/24 15:22:35]
替换Metamask插件
当黑客组织获取到用户主机权限时,会监视用户数周或数月以收集键盘记录并监控用户的日常操作。
如果黑客组织发现目标用户使用了浏览器扩展钱包时,他们会将扩展源从WebStore更改为本地存储,并将核心扩展组件替换为篡改版本。
下图对比显示了两个文件:一个合法的Metamaskbackground.js文件及黑客篡改代码的变体,修改的代码行以黄色突出显示。
Beosin:攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易,从而使GenesisRewardPool合约在使用openTrade函数进行借贷时,调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作,而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。
Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链,最终资金都已进入tornado.cash。
Beosin提醒用户:请勿在0x1FC2..E56c合约进行抵押操作,建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]
图源卡巴斯基
用户交易的详细信息会通过HTTP自动提交到黑客的C?2?服务器:
图源卡巴斯基
在这种情况下,黑客设置了对特定发件人和收件人地址之间交易的监控。从而在发现大额转账时触发通知并窃取资金。
Beosin:2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道,2022 年全年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起,因各类攻击造成的总损失超 36 亿美元,较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起,1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]
下图是一个被木马化的扩展:
图源卡巴斯基
以防万一,需注意浏览器是否选择开发者模式,如果使用的开发者模式,确保重要扩展来自网上商店:
社会工程手段攻击
Beosin安全研究团队同样发现,黑客组织可能会通过社会工程手段,如仿冒交易平台、发送欺诈性电子邮件等,来用户将加密货币转移到他们的账户中。
Beosin解析Reaper Farm遭攻击事件:_withdraw中owner地址可控且未作任何访问控制:8月2日消息,据 Beosin EagleEye 安全舆情监控数据显示,Reaper Farm 项目遭到黑客攻击,Beosin 安全团队发现由于_withdraw 中 owner 地址可控且未作任何访问控制,导致调用 withdraw 或 redeem 函数可提取任意用户资产。攻击者(0x5636 开头)利用攻击合约(0x8162 开头)通过漏洞合约(0xcda5 开头)提取用户资金,累计获利 62 ETH 和 160 万 DAI,约价值 170 万美元,目前攻击者(0x2c17 开头)已通过跨链将所有获利资金转入 Tornado.Cash。[2022/8/2 2:54:18]
仿冒交易平台:伪装成知名的加密货币交易平台,通过仿冒的网站或应用程序,用户输入自己的账户信息,从而窃取用户的资产。
资金盘:创建虚假的加密货币资金盘,向用户承诺高额回报,并引导用户进行投资,然后将用户的资金转移到其他账户,并关闭资金盘。
社交媒体欺诈:利用社交媒体平台,如Twitter、Telegram、Reddit等,伪装成加密货币交易专家或投资人,发布虚假的投资建议或价格分析,引诱用户进行投资,从而取资金。
扩展阅读:加密大V遭遇木马病,其钱包大额资产被盗给我们哪些启示?
黑客是如何清洗加密货币的?
通过混币器清洗
此外,黑客组织还利用以太坊区块链上最受欢迎的混币器TornadoCash转移资金,例如2020年某交易所被盗,当时被盗资金超过2.7亿美元。
黑客使用TornadoCash对被盗的ETH资金进行,在BeosinKYT中查看黑客的资金流向,如下所示有大额资金进入了Tornadocash。
Beosin?KYT黑客组织攻击地址总览
Beosin?KYT黑客组织地址资金流向图
那么,什么是TornadoCash?
TornadoCash是一个以太坊上的隐私保护协议,旨在为用户提供完全匿名的加密货币交易。它基于zk-SNARK技术,使用户可以在不暴露任何个人信息的情况下进行交易,从而保护他们的隐私。
TornadoCash的工作原理是将用户的代币混合在一起,使它们变得不可追踪。用户首先将代币发送到智能合约,然后智能合约将这些代币与其他用户的代币一起混合。混合完成后,用户可以从智能合约中提取相同数量的代币,但这些代币已被混合,无法与原始发送的代币进行关联。
TornadoCash支持以太币和ERC-20代币,用户可以选择不同的「混合池」进行交易。此外,TornadoCash也可以用于向其他人发送完全匿名的代币,这使得它成为隐私保护的一个重要工具。
需要注意的是,TornadoCash仅提供隐私保护,而不是匿名性。用户需要采取适当的措施来保护他们的身份信息,以免被其他方式追踪到。此外,使用TornadoCash也需要支付一定的交易费用,这些费用可能会高于普通交易的费用。
除此之外,常见的混币器还有:
Blender.io:Blender是一家成立于2017年的比特币区块链上运行的虚拟货币混合器,也是第一个受到美国财政部制裁的混币器。
CoinMixer:从2017年开始就存在的老牌比特币混币协议,目前未受到政府制裁。
ChipMixer:由越南运营商提供的暗网加密货币混币器,从2017年至今洗掉价值超过30亿美元的加密货币,该网站和后端服务器于2023年3月15日被联邦警察局查封。
Umbra:Umbra是一款可让用户在以太坊上进行私密转帐的协议,特色在于只有收付双方知道是谁收到这笔转帐。
CoinJoin:CoinJoin是历史最为悠久的混币器之一,专为比特币和比特币现金所开发。
除了专门的混币器外,利用FixedFloat、sideshift、ChangeNow等去中心化交易所兑换虚拟货币,也能达到的目的。
通过哈希算力租赁或云挖矿服务清洗
黑客组织使用加密货币服务来清洗被盗资金,包括购买域名地址和支付服务费用,以及可能使用哈希算力租赁和云挖掘服务将被盗的加密货币洗成干净的加密货币。
黑客组织使用被盗的比特币来支付Namecheap服务
哈希算力租赁允许客户租用计算能力进行加密货币挖掘,哈希算力是指计算机或硬件用于运行和求解不同哈希算法的算力,这些算法用于新加密货币的生成并驱动加密货币之间进行交易,这个过程也被称为挖矿,这可以用加密货币支付。情报公司表示,黑客组织使用这些服务来清洗被盗的加密货币,因此无法追溯到恶意操作。
黑客组织通过哈希算力租赁服务
通过暗网市场清洗
黑客组织可能会使用暗网市场上的加密货币交易来进行。这些市场允许匿名交易,使得黑客可以在其中进行交易,以便将他们的黑钱变为可支配资金。
黑客使用暗网市场对加密货币进行的过程可以大致分为以下几个步骤:
1在暗网市场上寻找买家:黑客会在暗网市场上寻找想要购买加密货币的买家。这些市场上有许多匿名交易的工具和服务,使得黑客可以更轻松地进行交易,同时减少被揭露的风险。
2准备好的加密货币:黑客需要将他们从非法活动中获得的加密货币准备好,以便在交易时快速转移资金,同时减少交易被追踪的风险。
3完成交易:黑客会通过暗网市场上的匿名交易工具和服务完成交易,将加密货币转移到买家的地址中。这些交易可能涉及多种加密货币和支付方式。
4将所得转移到合法渠道:黑客需要将他们从暗网市场上获得的加密货币转移到合法的渠道中,以便能够使用这些资金进行日常生活和业务活动。这可能包括将加密货币转换为法定货币,或将其投资于其他合法资产。
使用代理账户清洗
黑客组织可能会使用代理账户,以避免被追踪。这些代理账户可能由境外同伙或在海外的留学生等人员持有。
以下是可能的代理账户手法:
通过控制他人账户来:政府或其代理人员可能会控制他人的银行账户来进行。这些受控制的账户可能是在境外的同胞或关系密切的个人账户。
购买现成的代理账户:另一种可能的手法是购买已有的代理账户。这些账户可能由境外同伙或在境外的代理人员创建和持有。
创建虚假公司和账户:可能会创建虚假公司和账户,将其用作代理账户来进行。这种手法通常涉及虚假身份、地址和联系方式等信息,以躲避监管和审查。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。