作者 | PeckShield

责编 | 乔治

出品 | 区块链大本营（blockchain_camp）

2019年1月，黑客攻击了新西兰的虚拟货币交易所 Cryptopia，盗取了以 ETH 为主的数字资产（当时价值1,600万美元左右）之后销声匿迹。

 

近日，随着币价的攀升，该黑客在沉寂了数月后，开始密集的洗钱行动。据 PeckShield 数字资产护航系统（AML）数据显示，近两天来，该黑客已经将4,787个 ETH 转入了火币交易所，而且仍有26,003个 ETH 等待被洗时机。

 

知名安全公司 PeckShield 研究人员指出，其在梳理黑客洗钱路径时发现：

 

• 黑客在攻击成功后，一般会将资产分散到多个地址或直接转移到新地址后沉寂一段时间以避开风头；

• 在洗钱过程中，黑客会先转移出少部分资产进行尝试，以寻找最佳洗钱方式；

• 在少部分资产尝试清洗成功后，才会处理剩余资产，否则会继续沉寂等待时机。

 

从本次洗钱路径看，黑客是有通过去中心化交易所 EtherDelta，以 BAT、ELF 等代币配对交易，进行伪装买卖，逃离追踪的想法。

 

不过，纯链上交易信息清晰可查，黑客虽魔高一尺，但白帽安全人员布下了天罗地网，能层层剖析，抽丝剥茧清晰还原黑客洗钱的全过程。

 

一图概览黑客洗钱全过程：

 

黑客盗取的 ETH 完整流向图

 

从上图中可以看到，黑客先将部分数字资产转移到一个地址，再伪装成买家和卖家，在去中心化交易所 EtherDelta 中买卖交易，试图逃避追踪，之后将资产再次汇聚到一起，然后进入火币交易所。进一步的细节如下：

 

 

第一步：资产转移

 

在交易所等巨额资产出现安全问题后往往引来无数媒体关注，所有人都会紧盯资产流向，而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后，抓住一个最佳时机，开始销赃洗钱。

 

此次黑客估计是被市场回暖唤醒，先将5,000个 ETH 以每笔1,000个的方式转入一个新地址，并以此为起点，开始一轮洗钱操作。如果仔细地看这五笔交易，会发现它们共间隔16小时，而且是在每转出一笔后，再进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼，先探探头，试试水再说。

 

黑客将部分资产转移到一个新地址

 

 

第二步：伪装买卖

 

黑客为了逃避资产追踪，一般会将大额资产，以小额多笔的形式分散到大量的地址中，再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式，通过伪装成去中心化交易所的买家和卖家，试图以正常的挂单配对交易来逃避追踪。

 

黑客伪装成买家

 

黑客控制的地址买卖

 

黑客将每次收到的1,000 ETH，再分散成以约500个 ETH 一笔进入去中心化交易所，开始买卖。从以上两图中发现，黑客以普通用户的方式，不是仅用一两笔，而是通过大量多笔的交易，完成从买家到卖家的资产转移。

 

伪装买家卖家，买卖 BAT、ELF 代币

 

下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手，图中是黑客成交的多笔 ELF 和BAT 代币的订单。 

 

黑客伪装成买家交易 ELF、BAT 代币

 

具体来看买家在去中心化交易所 EtherDelta 合约上的一条交易（trade）记录

https://etherscan.io/tx/0x15ad9bac4391f5a6e57393ec3dc2418e73790eefb663a219fb1628501f1a31a6

 

买家在 EtherDelta 上的交易记录

 

在上图中可以看到买家与卖家的配对交易，紧接着卖家做了提现（withdraw）操作，对应着链上的交易记录截图如下： 

https://etherscan.io/tx/0x72917f72dfdfac50ff228f72a402a592ff79934bc5f3d138fd2c1f6c53091192

卖家在 EtherDelta 上的提现记录

 

 

第三步：再次汇聚，进入交易所

 

通过去中心化交易所的倒手交易后，黑客已认为能够避免资产被追踪，又将获得的 ETH 汇总到一个地址，并分批次进入火币交易所。 

 

黑客资产汇总进入火币交易所

 

至此，黑客最初的5,000枚 ETH，分批汇聚再进入去中心化交易所，经过倒手买卖，再次汇聚进入火币，看似天衣无缝的操作，实则在链上留下了诸多痕迹。

 

 

白帽黑客：一切链上行为皆可循

 

截至发文时，黑客共计将4,787个 ETH 转入了火币交易所，PeckShield 正协助火币交易所对涉及赃款实施封堵。

 

目前尚有26,003个 ETH 控制在黑客手中，存在进一步洗钱的可能。PeckShield 正持续追踪黑客下一步的洗钱行踪。

 

今年1月份 Cryptopia 交易所遭黑客攻击损失共计30,790个 ETH。时隔4个月，当时的 ETH 行情价格也已经翻番了，黑客觉得时机差不多成熟了，开始活跃出来洗钱了。

 

整体来看，黑客此次行动还是很小心谨慎的，通过分散转移账号、伪装买卖等多种手段来逃离追踪，但区块链世界，一切链上行为都有迹可循，安全公司更道高一丈。

附：黑客主要的洗钱地址：

 

关于作者：

PeckShield 是面向全球顶尖的区块链数据与安全服务提供商，其数字资产护航系统（AML)基于各大公链生态数据的全面挖掘和剖析，积累了海量高风险黑名单库，能够从庞大的链上数据库中精准提炼出黑客的行踪，并联合全球各大交易所、社区治理单位等合作伙伴，对黑客洗钱行踪展开全链、全时段、反伪装等步步追踪和实时封堵。