本篇主要集中解读RoninNetwork安全事件反分析及工具方法介绍。
事件背景
3月29日,AxieInfinity侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,共17.36万枚ETH和2550万枚USDC被盗,损失超6.1亿美元。据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是,黑客事件早在3月23日就发生了,但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件,后者也窃取了超过6亿美元。
事情背景可追溯到去年11月,当时SkyMavis请求AxieDAO帮助分发免费交易,由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链由九个验证节点组成,其中至少需要五个签名来识别存款或提款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。美国调查机构认为朝鲜黑客组织LAZARUSGROUP是此事件的幕后黑手。
工具及方法
在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。
报告:2022年暗网市场总收入为15亿美元,不及2021年的一半:2月10日消息,据区块链分析公司Chainalysis发布的报告,2022年暗网市场和欺诈商店的收入较2021年有所下降。2022年暗网市场总收入为15亿美元,低于2021年的31亿美元。
Hydra市场再次成为2022年收入最高的暗网市场,尽管它在4月份受到OFAC制裁并在美德联合行动中被关闭。其次是Mega Darknet Market、Blacksprut Market和OMG!OMG! Market。Hydra的关闭导致整个行业的暗网市场收入下降,所有市场的平均每日收入从关闭前的420万美元下降到关闭后的44.7万美元。[2023/2/10 11:58:42]
基础工具-MistTrack
MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AMLRiskScore
MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
报告:NFT市场的增长速度超过加密货币市场:金色财经报道,区块链数据分析公司Nansen最近发布了关于NFT的季度研究报告。该分析强调了NFT行业年初至今的表现优于加密货币市场,预计到2025年市场估值将达到800亿美元。根据Nansen 2022季度NFT报告,今年NFT市场已经超过了加密货币市场,年初至今的ETH回报率为103.7%,美元回报率为82.1%。尽管截至2022年2月,全球大多数资产类别的市场均出现下跌,但NFT-500在3月份的前30天中上涨了5.9%。(cryptoslate)[2022/4/18 14:31:01]
AddressLabels
MistTrack反追踪系统积累了超2亿个钱包地址标签,地址标签主要包含3个分类:
它归属于什么实体,如Coinbase、Binance
它的链上行为特征,如DeFi鲸鱼、MEVBot以及ENS
一些链下情报数据,如曾使用过imToken/MetaMask钱包
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
报告:Visa、万事达卡和PayPal均视加密货币为机遇而非威胁:12月16日消息,总部位于纽约的研究公司MoffettNathanson周三在一份报告中告诉客户,支付巨头Visa、万事达卡和PayPal并不认为加密行业的崛起是一个威胁,并且都将继续在加密生态系统进行投资。
这份报告强调了旧式支付服务公司越来越接受加密货币,并强调了它们为适应不断变化的环境所做的努力。
Visa认为加密货币的意义超越了支付,认为它是一种二层解决方案,可以在区块链网络上运行,就像该公司对基于法币的网络所做的那样。Visa高级副总裁兼全球金融科技主管Terry Angelos表示,通过与加密钱包的合作,该公司预计在未来一到两年内交易量将强劲增长。
万事达卡区块链和数字资产产品执行副总裁Raj Dhamodharan表示,万事达卡通过加密货币交易所和钱包的跨境加密货币进出流量受益,并将加密货币视为打造新产品的机会。(CoinDesk)[2021/12/16 7:43:31]
通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。
拓展方法-数据分析
MistTrack可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。
动态 | 欧洲财务报告咨询小组正寻求加密资产专家意见,以解决会计领域的新挑战:欧洲财务报告咨询小组(EFRAG)正在就一个研究项目向加密资产专家征求意见,该项目旨在确定并提出解决现行国际财务报告准则(IFRS)和其他国家会计准则指南中未涉及的新挑战的解决方案。(Accountancy Daily)[2019/9/18]
新的手法需要新的分析方法,对Tornado.Cash转出分析的需求变得越来越普遍,此处我们将提出一个针对Tornado.Cash资金转出的分析方法:
记录目前已知的信息,已知信息包括转入Tornado.Cash总数,第一笔Tornado.Cash存款时间,第一笔Tornado.Cash存款的区块高度。
将参数填入我们准备的分析面板。
得到初步的Tornado.Cash提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
Tornado.Cash转出分析结论。
通过这个Tornado.Cash资金转出的分析方法,我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。
动态 | 帝国理工学院报告:比特币可颠覆金融系统本质:据btcmanager消息,伦敦帝国理工学院(Imperial College London)的一份报告称,比特币和以太坊等加密货币已经达到了货币的三个主要标准之一,而前者有可能颠覆金融体系的本质。
根据Knottenbelt教授的观点,要将资产视为货币,它必须能够同时作为价值储存、交换媒介和计量单位来运作。目前,重要的数字资产被广泛认为是一种强大的价值储存手段,全球金融领域的投资者已将数十亿美元投资于比特币、以太坊和其他重要的加密货币作为长期投资。
考虑到用户可以在接受数字资产的商家用加密货币购买商品和服务,并且可以轻松地将加密货币转换为法定货币,因此可以认为,重要的加密货币已经成为一种有效的交换媒介。但是,在交换媒介方面必须取得重大进展,特别是在商家采用方面,以便将数字资产视为货币。
报告称,对于满足最后两个标准的加密货币,必须对其可扩展性、设计和监管进行重大改进。帝国理工学院(Imperial College)的研究人员表示,从长期来看,随着第一层和第二层网络的增加,当费用不再成为商家的一个问题时,加密货币将能够被视为货币。
虽然传统金融领域的大多数人对加密货币仍持怀疑态度,但Knottenbelt表示,数字资产正在迅速满足成为一种广泛认可的支付方式和新的货币标准的标准。[2018/7/12]
显而易见,这个Tornado.Cash资金转出的分析方法同样存在局限性:
转入Tornado.Cash的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。
识别ChipMixer的提款特征。
输入地址类型
输出地址类型
输入数额特征
版本
锁定时间
bech32(bc1q...)
bech32(bc1q...)
所有的输入数额都满足Chips(即0.001?*2的n次方,n<14)的要求
2
区块高度-1/区块高度-2/区块高度-?3
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内ChipMixer的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer转出分析结论。
反分析详述
根据上述方法,针对RoninNetwork安全事件做出以下分析:
黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
被盗时间:3月23日
损失统计:173,600ETH、25,500,000USDC
攻击手续费来源:SimpleSwap
资金转移:
ETH资金转移:
黑客将攻击获利的25,500,000USDC兑换为了8,562.6801ETH,所以黑客需要洗币的总额为182,163.737ETH。
黑客获利资金流向主体详情如下表:
注:其他未做统计的流向资金为洗币过程损失。
Tornado.Cash资金转移:
黑客总计转入Tornado.Cash175,100ETH,经过分析,我们得出Ronin黑客从Tornado.Cash提款符合下列特征:从Tornado.Cash转出后直接或转移一层后使用1inch或Uniswap兑换为renBTC,通过renBTC跨链到BTC链。
通过DuneAnalytics,我们将符合上述特征的Tornado.Cash提款和跨链到BTC链的数据筛选出来,并进行有效的可视化展示,如下图:
根据上面的分析图,得到Tornado.Cash转出资金情况如下表:
注:数据有效时间截止于7月20日。
BTC资金转移:
根据对Tornado.Cash资金转移的分析,我们得到符合特征的共计8,075.9329BTC的资金跨链到BTC链。其中的6,191.2542BTC经过分析确认与Ronin黑客相关,再加上从Huobi和FTX提款的439.7818BTC,确认共计6,631.036BTC为Ronin黑客所属资金。此部分资金的进一步转移情况如下表:
注:0.1BTC以下转移额不做统计。
ChipMixer资金转移:
根据BTC资金转移可以看到3460.6845BTC转移到了ChipMixer,通过对BTC链上数据监控以及对ChipMixer的提款数据进行分析,识别出Ronin黑客从ChipMixer共计提款2,871.03BTC。此部分资金的进一步转移情况如下表:
注:0.1BTC以下转移额不做统计。
总结
以上便是关于RoninNetwork安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。