DEF:DeFi 安全事件频发，如何规避黑资产，保持平台合规性？

近期，区块链安全事件频发，无论是DeFi、跨链桥、NFT还是交易所，都损失惨重。除了对事件发生的原因进行技术分析以警示，我们也应将视线看向被盗资产方面。加密货币的匿名属性，使其难免被用于和资产转移，随着各国政策的更新与完善，拥抱监管与合规必是未来的一个趋势，因此，对被盗资产流向及攻击者洗币手法进行分析、对链上动态进行实时监测显得尤为重要。

慢雾AML团队利用旗下MistTrack反追踪系统，以近期发生的其中两个事件为例，通过剖析攻击者的洗币手法及资产的流向来窥见一二。

XSURGE攻击事件

概述

2021年8月17日3:13AM，XSURGE官方发布关于SurgeBNB漏洞的声明，称由于SurgeBNB合约不可更改且已被放弃，因此无法修补该漏洞，但强烈建议用户尽快移出SurgereBNB，该漏洞随时可能被攻击者触发。

不幸的是，在3:59AM，官方就表示遭遇攻击。

事件相关地址通过比对相似合约，我们还发现了其他攻击者信息。资金流向分析

Polygon Labs：SEC变更交易所定义的拟定规则会危害DeFi行业和区块链网络:6月14日消息，Polygon Labs首席政策官Rebecca Rettig在推特上表示，今天Polygon Labs提交了对美国证券交易委员会（SEC）提议的交易所定义规则制定的回应。新的拟议规则不仅会危害DeFi行业，还威胁到美国未获许可的区块链网络。从技术、法律或实践的角度来看，许多不同和独立的验证者无法以某种方式协调到监管机构注册为交易所。验证者不会通过分叉或其他方式控制DeFi协议。正如我们在回应中更全面地阐述的那样，拟议的修订规则实际上将禁止美国所有未获许可的区块链网络，以及建立在此类网络之上的许多软件协议，包括DeFi协议。[2023/6/14 21:35:56]

经过分析，本次事件是由于其合约的sell函数导致了重入漏洞，也就是说攻击者通过不断买卖的操作，以更低的代币价格获取到了更多的SURGE代币。那攻击者具体是怎样进行获利并转移资金的呢？

我们以攻击者1创建的合约为例来分析攻击者的获利过程。首先，8月16日19:39:29(UTC)，攻击者1在币安智能链(BSC)创建了攻击合约1，闪电贷借出10,000BNB后购买SURGE代币，多次以“卖出再买入”的方式来回交易，最后获利12,161BNB。接着分别创建了合约2-6，以同样的方式获利，最终攻击者1获利13,112BNB。攻击成功后，黑客并没有持币观望等待时机，而是直接开始转移资金，想获利，经过两层大的转移，黑客轻而易举地将资金转移到了交易所：

欧盟委员会研究通过“嵌入式监管”来监控DeFi的可能性:金色财经报道，欧盟委员会上周发布了一项提案，旨在研究通过“嵌入式监管”来监控DeFi的可能性。?该提案源于委员会专门负责金融和市场的总局，旨在调查金融监管机构如何监管以太坊。它认为以太坊是 DeFi 的最大支付结算平台。?该试点计划将持续至少六个月，估计价值为 250,000 欧元（约合 242,500 美元）。参与申请将持续开放至12月1日。

?根据委员会的文件，该研究将侧重于直接从区块链自动收集监管数据，以测试对实时DeFi活动进行监管的技术能力。

Circle欧盟政策和战略负责人Patrick Hansen在推特上表示，试点的影响可能很大，因为监管机构通过读取公共区块链数据自动监控合规性的能力可以大大减少对市场参与者（例如 DAO）的需求。积极收集、验证并向当局提供数据。[2022/10/11 10:30:25]

第一层洗币：将资金不等额分散到多个地址

攻击者先是将获利的13,112BNB随机分成了两大部分，将一部分BNB以不等的金额陆续转出到不同地址，将另一部分BNB先通过PancakeSwap、1inch换成ETH后再转出到不同地址，最终13,112BNB被转移到下图的30个不同地址。第二层洗币：将资金直接或分批兑换转移

Adam Cochran：与YFI同类的DeFi项目正在转向veToken模型:1月2日消息，Cinneamhain Ventures合伙人Adam Cochran发推表示，许多像BAL和YFI这样的DeFi项目已经明确表示正在转向veToken模型。 Curve的利润将转移到具有类似代币经济或类似历史的项目中。考虑到生态系统已经并将继续拥有的财富创造水平，这是一个巨大的转变。[2022/1/2 8:19:40]

经过对30个地址资金转移的不断分析，我们渐渐总结出了攻击者的转移方式主要有以下几种：

1、将BNB直接换成ETH，直接或分批转到币安。2、部分BNB换成ETH转到币安，部分BNB转到其他地址，汇聚后一起换成ETH，再分批转到币安。以地址(0x77b...22d)为例：3、ETH直接或分批分层转到币安截至目前，13,112BNB均转移至币安。

思考：不难看出，该事件的攻击者转出资产的核心方式还是“兑换、汇集、分批、多层”，最终大部分资金都到了币安交易所，但这并不意味着目前大部分被盗资产脱离攻击者的控制，此刻就非常需要全球交易所以合规的方式联合起来，阻断攻击者的黑资产变现行为。

基于Solana的DeFi借贷协议Acumen已集成Raydium:据官方消息，基于Solana的DeFi借贷协议Acumen protocol宣布，已经集成基于Solana的链上订单簿AMM Raydium Protocol。RAY持有者可以在Acumen上进行借贷。用户还可以通过将RAY存入协议来赚取ACMN。[2021/7/12 0:45:31]

StableMagnet跑路事件

概述

北京时间6月23日凌晨，币安智能链(BSC)上稳定币兑换自动做市商StableMagnet卷走用户2400万美元跑路。然而在事件发生前，部分用户曾收到匿名组织发来的信件，信件中暗示StableMagnet将RugPull，但用户只是半信半疑没有做出过多举动。2400万美元被带走的同时，用户的钱包也被洗劫，官方网站、电报群、推特全都“查无此人”。从震惊无措中缓过来的受害者们立刻联络起来，社区部分“科学家”们自发组建了核心调查组，联合币安的力量，展开了一场跌宕起伏的自救行动。

币赢DeFi专区Miniswap上线HBTC/USDT矿池:据官方消息，Miniswap将于北京时间2020年11月9日18：00点上线HBTC/USDT矿池，用户在Miniswap添加HBTC/USDT流动性即可通过跨链流动性挖矿平台m.finance 挖矿获得MG（麦哲伦）。据悉，HBTC是火币在以太坊上的BTC跨链资产，采用超额准备金保障，可验证、可信承兑。币赢Defi专区Mini当前报价0.0402 USDT，上涨29.1%。[2020/11/9 12:05:54]

事件相关地址

项目方跑路地址：0x8bea99d414c9c50beb456c3c971e8936b151cb39

资金流向分析

经过分析，此次问题出在智能合约调用的底层函数库，而项目方在底层函数库SwapUtilsLibrary中植入了后门，一开始就为跑路做好了准备。收割资金，利用漏洞，卷走资金，一切就从下图的交易开始了………在这笔交易中，项目方带走了超800万枚BSC-USD、超720万枚USDC以及超700万枚BUSD。资金到手，项目方没有过多停顿，立马就开始转移资金。

第一层洗币：少部分兑换后，将资金等额分散到多个地址

为了后续更统一方便地转移，项目方先将1,137,821BUSD换成1,137,477USDC，将781,878BUSD换成781,467BSC-USD。接着分别将BUSD、USDC、BSC-USD等额分散到以下地址：第二层洗币：部分资金兑换后进行跨链并转入混币平台，部分资金直接转入币安

BUSD部分

根据分析，上图中的一部分BUSD换成91anyBTC跨链到地址A(bc1...gp0)。一部分BUSD换成60anyBTC跨链到地址B(bc1...kfu)。USDC部分

根据分析，上图中的一部分USDC兑换为anyETH，跨链到5个以太坊地址。另一部分USDC兑换为USDT，跨链到5个以太坊地址。接着，将ETH都转移到了地址C(0xfa9...d7b)和地址D(0x456...b9f)。而这两个地址，少部分转到了第一层表格中的地址，多数转移到了Tornado.Cash。而USDT被换成DAI，一部分停留在地址，一部分已转到混币平台Tornado.Cash。BSC-USD部分

上图中的BSC-USD资金，皆分批转到了币安。据了解，事件发生后几天，币安提供了嫌犯可能在香港的有效线索，社区调查者的线索也指向香港，但嫌犯在明知身份已泄露的情况下仍拒绝配合。受害者们只能将眼光转向，好在分别于香港、英国实现了立案。正在焦灼之时，英国立即受理并对该事件展开行动，在社区与匿名组织给出的有效信息支持下，开启了抓捕行动。值得庆幸的是，在社区与英国的联合力量下，回收了90%资产，并抓获了部分嫌疑人，这也是DeFi攻击史上首次由发起链上退款的事件。

思考：不难看出，Tornado.Cash等混币服务系统、闪兑平台以及一些免KYC的中心化机构，目前都是的重灾区。另外，在该跑路事件中英国起到了非常重要的作用，每个平台应该将合规与安全监管重视起来，必要时与监管执法机构合作，打击不法行为。

总结

经过上述分析，不难发现币安似乎很受攻击者的青睐。作为全球领先的加密货币交易所之一，币安最近遭遇了多个国家的监管风波，8月6日，币安CEO赵长鹏在推特上表示，币安将从被动合规转向主动合规，随后币安上线了一系列拥抱合规的平台安全策略。监管的意义在某些攻击事件中也不言而喻，例如Tether对被盗的USDT的冻结、慢雾联合交易所对被盗资金的冻结。

在合规监管方面，慢雾发布了AML系统，交易平台接入AML系统后，一方面交易平台在收到相关盗币资金时会收到提醒，另一方面可以更好地识别高风险账户，保持平台合规性，避免平台陷入涉及的境况。作为行业领先的安全公司，慢雾始终关注着每一件安全事件，当攻击事件发生后，我们会迅速采集攻击者相关的地址录入到AML系统，并进行持续监控与拉黑。目前，慢雾AML系统旗下的恶意地址库已涵盖从暗网到全球数百个交易所的有关内容，包含BTC、ETH、EOS、XRP、TRX、USDT等恶意钱包地址，数量已突破10万，可识别地址标签近2亿，为追踪黑客攻击、洗币行为提供了全面的情报支撑。

欢迎点击此免费试用慢雾AML系统，通过监测链上活动的实时动态，提高整个平台的风控安全与合规等级。

来源链接：mp.weixin.qq.com

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

慢雾

慢雾

慢雾科技是一家专注区块链生态安全的国家高新技术企业，通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括：安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品，已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多

标签：USDEFIDEFIDEFSDUSDdefiner币币币情AurusDeFiDeFi11

LTC热门资讯