黑客洗錢套路——一場涉及至少6000萬美元的錢包被盜案

此前，一場涉及幾千萬美元的錢包被盜案件震驚了整個行業。

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示， Atomic Wallet於今年6月初遭攻擊，據Beosin團隊統計，綜合鏈上已知的受害人報案信息，此次攻擊造成的損失至少約6000萬美元。

據 CoinDesk 報道，Atomic 錢包首席執行官Konstantin Gladych 表示，團隊現在正在收集受影響用戶的數據，並表示 「這次攻擊絕對是由一支專業黑客團隊組織的，他們正在使用腳本、資金拆分、混幣器等手段」。

在這篇文章中，我們將深入 探討這起黑客盜竊案的資金清洗細節，並使用 Beosin KYT 虛擬資產反洗錢合規和分析平臺，對黑客的洗錢套路進行追蹤和分析。

事件綜述

根據Beosin團隊分析，此次被盜事件截止目前涉及的鏈包括BTC、ETH、TRX在內總共21條鏈。被盜資金主要集中在以太坊鏈。其中：

以太坊鏈

已查出被盜資金為16262個ETH價值的虛擬貨幣，約3000萬美元。

波場鏈

波場鏈已知被盜資金為251335387.3208個TRX價值的虛擬貨幣，約1700萬美元。

BTC鏈

BTC鏈已知被盜資金為420.882個BTC價值的虛擬貨幣，折合1260萬美元。

BSC鏈

BSC鏈已知被盜資金為40.206266個BNB價值的虛擬貨幣。

其余鏈

XRP：1676015個XRP，約84萬美元

LTC：2839.873689個LTC，約22萬美元

DOGE：800575.67369797個DOGE，約5萬美元

以太坊

在黑客對贓款的操作中，以太坊被攻擊鏈路上有兩種主要的方式：

1、通過合約進行發散後利用Avalanche跨鏈洗錢

根據Beosin團隊分析，黑客會首先將錢包中有價值的幣統一換成公鏈的主幣，再通過兩個合約來進行匯集。

該合約地址會通過兩層中轉將ETH打包成WETH，再將WETH轉入用於將ETH發散的合約，通過最高5層中轉轉入Avalanche 用於Cross Bridge的錢包地址中進行跨鏈操作，該跨鏈不使用合約進行，屬於Avalanche的內部記账式交易類型。

以太坊鏈路簡圖如下：

匯聚合約1：

0xe07e2153542eb4b768b4d73081143c90d25f1d58

涉案共計3357.0201個ETH

換成WETH後轉入合約0x3c3ed2597b140f31241281523952e936037cbed3

銷贓路线詳細圖如下所示：

匯聚合約2：

0x7417b428f597648d1472945ff434c395cca73245

涉案共計3009.8874個ETH

黑客換成WETH後轉入合約0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

銷贓路线詳細圖如下所示：

兩個匯聚合約通過同意手續費來源確認，部分沒有交易行為地址隱藏。手續費路徑如下：

目前只發現這四個有匯集贓款行為的合約。

2、不通過合約直接發散並通過各種跨鏈橋協議以及交易所洗錢

這一部分目前統計涉案金額為9896 ETH，這一部分會通過多個歸集地址進行歸集。資金鏈路圖如下所示：

Beosin KYT展示的ETH非合約轉账資金圖

波場鏈

波場鏈和以太坊鏈類似，通過兩層地址將被盜錢包虛擬貨幣全部轉為公鏈本幣TRX，再向後中轉。不同的是， 匯集地址不再使用合約而是普通地址進行，經過分散後轉入各種交易所充幣地址。一部分被盜資金留在鏈上未轉移，沉澱地址很多。

可以看到黑客洗錢渠道多，主要通過各類交易所账戶進行洗錢，同時也有直接流入跨鏈橋合約的情況。

匯集地址主要為以下兩個地址

TCSEiuNnYHJ3E1LPxAFdDd1xERWUPeUeEC

涉及流水：157,401,175.7231 TRX

TL4w1Xo6PBfa41StEgpNAZWtS65HRPgrHS

涉及流水：93,934,211.5977 TRX

路线模式見下圖：

Beosin KYT展示的波場鏈資金流轉示例圖

BTC鏈

BTC已知歸集地址涉案資金為420.882個BTC。

BTC鏈涉案地址分多個匯聚地址，匯聚地址後續無資金交叉，存在大量沉澱地址。

與其他鏈類似，被盜錢包資金會直接轉入黑客地址，再由黑客控制經一層中轉轉入匯聚地址並在之後進行發散。發散層數至少4層，之後會進行沉澱或混入更大流水的疑似洗錢地址。

路线模式見下圖：

Beosin KYT展示的BTC資金流轉示例圖

BSC鏈

BSC鏈只有一個地址，目前資金在鏈上沉澱。

另外35個BNB來自被盜錢包USDT兌幣。

其余鏈地址

XRP：1676015個XRP，折合838,007美元

LTC：2839.873689個LTC，折合217,789美元

DOGE：800575.67369797個DOGE，折合51,194美元

上述鏈路模式和其他鏈類似，均為從錢包盜取幣之後換成本幣再通過一層中轉進入不同的歸集地址，且鏈上仍沉澱的地址較多。

關於本次事件的相關進展，據路透社6月中旬報道，愛沙尼亞警方表示正在調查該國 Atomic Wallet 用戶加密貨幣被盜案件。愛沙尼亞當局表示，上周以來一直在調查這起盜竊案，調查仍處於早期階段，且目前不會對攻擊的源頭發表評論。

由上述事件可以看到，近年來，網絡犯罪、洗錢、暗網交易等涉及虛擬資產的犯罪屢見不鮮，區塊鏈的去中心化、开放性、匿名性等特徵給監管部門帶來了巨大的挑战。