SharkTeam：Atomic Wallet攻擊原理和洗錢模式分析

2023-06-10 08:06:30

6月3日，加密錢包Atomic Wallet遭攻擊，大量用戶資產被盜，部分用戶損失超過百萬美元，影響範圍極大。SharkTeam對本次攻擊的攻擊原理和黑客的洗錢模式進行分析。

一、攻擊原理分析

SharkTeam對Atomic Wallet進行了App和服務器API的封閉黑盒測試。測試過程概述如下：

（1）本次測試版本為Android的Atomic Wallet 1.13.20和1.15.1。我們對Android應用打包發布證書信息進行了匹配，證書信息和官方證書相一致，排除“二次打包+釣魚網站”攻擊竊取私鑰。

（2）對APP本地緩存文件做了分析，經檢測，涉及到账號信息的敏感數據也都做了混淆加密處理。

（3）對APP運行過程進行了抓包，但並未發現密鑰上傳泄露的攻擊行為，同時數據已經經過了合理的加密處理。

（4）Android客戶端未做動態防護和加固處理，執行過程可以被注入攻擊，用戶可能會因為安裝了被黑客控制的惡意App而被攻擊，造成私鑰泄漏。惡意App可以通過社工方式被誘導安裝或部分惡意Android系統的內置應用。

（5）使用流量監控工具查看網絡連接情況，經過一段時間運行後觀察 http、dns、icmp、ssh 等流量情況，未發現 app 存在明顯向其他第三方發送敏感數據的情況。分析 app 和服務器後端 api 接口交互情況，api 接口均需要進行權限校驗，未發現未授權或隱藏的 api 接口。

通過測試和分析，我們認為造成本次事件最可能的攻擊點：

（1）AtomicWallet开發過程中可能誤引入了惡意SDK，被黑客通過“軟件供應鏈攻擊”的方式留下了後門。

（2）數據加密算法相關資料泄密，導致加密方式和加密弱點被發現，並造成私鑰被爆破。

（3）Android App客戶端未做動態防護，用戶Android設備中被植入了惡意軟件，實施注入攻擊，竊取用戶密碼或私鑰。

二、洗錢模式分析

Atomic Wallet用戶因黑客攻擊損失了至少3500萬美元，前五名損失達1700萬美元，其中一名用戶被盜795萬美元。此外，據SharkTeam的鏈上安全分析平臺ChainAegis數據顯示，受害者的損失總額已超過5000萬美元。我們對損失前5中的2位受害者地址進行資金流向分析，去除黑客設置的技術幹擾因素後（大量的假代幣轉账交易+多地址分账），可以得到黑客的資金轉移模式：

圖：Atomic Wallet 受害者1資金轉移視圖

受害者1地址0xb02d...c6072向黑客地址0x3916...6340轉移304.36 ETH，通過中間地址0x0159...7b70進行8次分账後，歸集至地址0x69ca...5324。此後將歸集資金轉移至地址0x514c...58f67，目前資金仍在該地址中，地址ETH余額為692.74 ETH（價值127萬美元）。

圖：Atomic Wallet 受害者2資金轉移視圖

受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3轉移126.6萬USDT，黑客將其分成三筆，其中兩筆轉移至Uniswap，轉账總額為126.6萬USDT；另一筆向地址0x49ce...80fb進行轉移，轉移金額為672.71ETH。受害者2向黑客地址0x0d5a...08c2轉移2.2萬USDT，該黑客通過中間地址0xec13...02d6等進行多次分账，直接或間接將資金歸集至地址0x3c2e...94a8。

這種洗錢模式和朝鮮黑客在之前的Ronin Network、Harmony攻擊事件中的洗錢模式高度一致，均包含三個步驟：

（1）被盜資金整理兌換：發起攻擊後整理原始被盜代幣，通過dex等方式將多種代幣swap成ETH。這是規避資金凍結的常用方式。

（2）被盜資金歸集：將整理好的ETH歸集到數個一次性錢包地址中。Ronin事件中黑客一共用了9個這樣的地址，而Harmony使用了14個，本次Atomic Wallet事件使用了近30個地址。

（3）被盜資金轉出：使用歸集地址通過Tornado.Cash將錢洗出。這便完成了全部的資金轉移過程。

除了具備相同的洗錢模式，在洗錢的細節上也有高度的一致性：

（1）攻擊者非常有耐心，均使用了長達一周的時間進行洗錢操作，均在事件發生幾天後开始後續洗錢動作，目前Atomic Wallet事件的部分被盜資金已進行了的分账處理，但還沒开始通過Tornado.Cash混幣，分析很可能會在幾天後开始混幣。

（2）洗錢流程中均採用了自動化交易，大部分資金歸集的動作交易筆數多，時間間隔小，模式統一。

圖：Ronin Network breathfirst洗錢模式視圖

圖：Harmony breathfirst洗錢模式視圖

通過鏈上分析，我們認為：

Atomic洗錢手法與Ronin Network、Harmony洗錢手法存在一致性，均為多账號分账、小額轉移資產的洗錢方式。因此攻擊者可能來源於朝鮮黑客組織。

（2）但在Atomic事件資金轉移過程中，出現了大量假幣交易，黑客希望通過這種方式提高分析難度。在四級交易網絡中，以27個地址進行分账轉移，其中23個账戶均為假幣轉移，之前的兩次事件並沒有這種幹擾技術，說明黑客的洗錢技術也在升級。

（3）目前Atomic被盜資金仍在分账地址中。若為朝鮮黑客攻擊，洗錢操作尚未完成，後續可能出現像Harmony事件一樣轉移至Tonado Cash進行混幣。

（4）在資金流向分析中，地址0x3c2eebc、0x3b4e6e7e曾分別與帶有Binance 18、Binance 14標籤的熱錢包地址進行交互，但由於轉账金額較小，並不排除並沒有在幣安上進行KYC認證的可能。

About us

SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關系。

官網：https://www.sharkteam.org

Twitter：https://twitter.com/sharkteamorg

Discord：https://discord.gg/jGH9xXCjDZ

Telegram：https://t.me/sharkteamorg