本篇主要集中解读 Ronin Network 安全事件反分析及工具方法介绍。
事件背景
工具及方法
在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。
(MistTrack 反追踪系统示例图)
MistTrack 反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AML Risk Score
MistTrack 反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体(如混币平台)或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
报告:三分之二的AI Chrome扩展程序可能危及用户安全:金色财经报道,Incogni最新报告的数据显示,超过三分之二的Google Chrome浏览器人工智能扩展具有高风险影响,如果遭到破坏,可能会对用户网络安全造成“严重损害”。
8月份的报告分析了7个不同类别的70个AI Chrome扩展程序,其中10个写作扩展程序均属于高风险类别。70个扩展中的48个如果搁浅,就会属于高风险影响类别,但60%的扩展首先面临安全漏洞的风险较低。
Incogni负责人Darius Belejevas表示,虽然这些扩展提供了“不可否认的便利”,但用户应该将隐私和安全保护作为首要任务。[2023/8/8 21:32:08]
Address Labels
MistTrack 反追踪系统积累了超 2 亿个钱包地址标签,地址标签主要包含 3 个分类:
(1)它归属于什么实体,如 Coinbase、Binance
(2)它的链上行为特征,如 DeFi 鲸鱼、MEV Bot 以及 ENS
(3)一些链下情报数据,如曾使用过 imToken/MetaMask 钱包
DownDetector:用户报告显示推特服务出现问题:1月21日消息,据监测网络状况的网站DownDetector:用户报告显示推特(TWTR.N)服务出现问题。(金十)[2022/1/21 9:03:23]
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
(MistTrack 追踪分析示例图)
通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反分析评估工作中起到至关重要的作用。
MistTrack 可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反的主战场。
报告:交易所交易量下降10%,表明投资者变得更加谨慎:根据CoinGecko最新发布的2020年第二季度季度报告,从第一季度到第二季度,交易所代币的市值增长了24%,但交易量却减少了10%。报告称,交易量的下降趋势可能是一个信号,表明投资者变得更加谨慎。或是更多散户在交易少量的代币,而鲸鱼可能是在囤币。(Ambcrypto)[2020/7/13]
新的手法需要新的分析方法,对 Tornado.Cash 转出分析的需求变得越来越普遍,此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法:
记录目前已知的信息,已知信息包括转入 Tornado.Cash 总数,第一笔 Tornado.Cash 存款时间,第一笔 Tornado.Cash 存款的区块高度。
将参数填入我们准备的分析面板(https://dune.com/awesome/Tornado-withdraw-analysis)。
得到初步的 Tornado.Cash 提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
声音 | 报告:区块链等与金融加速融合为金融服务提供创新解决方案:据科技日报消息,近日,浦江创新论坛发布《中国科技金融生态年度观察2018》。报告显示,技术创新驱使金融业变革,世界各国纷纷布局,以大数据、云计算、人工智能、区块链、生物识别等为代表的新兴技术与金融加速融合,不断为金融服务提供创新型解决方案,对传统金融服务与产品进行革新与拓展,并广泛应用于支付清算、借贷融资、资本市场、财富管理等领域。[2018/11/6]
Tornado.Cash 转出分析结论。
(Dune Dashboard - Tornado.Cash 转出分析)
通过这个 Tornado.Cash 资金转出的分析方法,我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。
显而易见,这个 Tornado.Cash 资金转出的分析方法同样存在局限性:
声音 | 调查报告:比特币和以太坊仍然是长期的看涨数字货币:据livebitcoinnews报道,SharesPost 的新调查显示,比特币和以太坊仍然是长期的看涨数字货币,因为这两种货币似乎在支付和技术方面有很大的潜力。尽管最近有关于以太坊“ 不可避免的崩溃 ”的说法,但SharesPost调查受访者仍然充满信心。长期的信徒不会受到这种说法的影响,相反,他们看到未来18个月的前景乐观。[2018/9/8]
转入 Tornado.Cash 的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在 BTC 链上,通过区块链反资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用平台。Blender 目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer 流入资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。
识别 ChipMixer 的提款特征。
输入地址类型
输出地址类型
输入数额特征
版本
锁定时间
bech32(bc1q...)
所有的输入数额都满足 Chips(即 0.001 ?* 2 的 n 次方,n < 14)的要求
区块高度 - 1/区块高度 - 2/区块高度 - ?3
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内 ChipMixer 的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer 转出分析结论。
反分析详述
根据上述方法,针对 Ronin Network 安全事件做出以下分析:
黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96(ETH 链)
攻击手续费来源:SimpleSwap
资金转移:
(Ronin Bridge Exploiter 资金转移时间线)
ETH 资金转移:
黑客获利资金流向主体详情如下表:
注:其他未做统计的流向资金为洗币过程损失。
Tornado.Cash 资金转移:
注:数据有效时间截止于 7 月 20 日。
BTC 资金转移:
注:0.1 BTC 以下转移额不做统计。
ChipMixer 资金转移:
注:0.1 BTC 以下转移额不做统计。
总结
以上便是关于 Ronin Network 安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
慢雾科技
个人专栏
阅读更多
金色早8点
Bress
PANews
链捕手
财经法学
成都链安
Odaily星球日报
区块律动BlockBeats
标签:TORADOASHORNtoro币现在不能交易吗matador-tokenkcash币价格预测Unicorn Milk
初露锋芒的元宇宙产业,已经悄悄开启招聘热潮。 近日,澎湃新闻记者从多家互联网、游戏类企业获悉,计划在近期扩大元宇宙人才招聘规模.
1900/1/1 0:00:00Token2049 区块链周融资信息一览2022年9月26-9月29日 Coinbase前CTO:特朗普对TikTok的禁令是去中心化的另一个催化剂:Coinbase前首席技术官Balaji S.
1900/1/1 0:00:00北京时间8月14日,Polkadot DeFi 的流动性枢纽Acala因iBTC/aUSD池的漏洞遭到黑客攻击,攻击者钱包中持有超过12亿枚aUSD.
1900/1/1 0:00:00「事件回顾」币安链遭遇有史以来金额最大的黑客攻击10月7日凌晨,BNB Chain遭遇了黑客攻击,攻击涉及的总金额达到7亿美元,其中包含5.7亿美元的BNB.
1900/1/1 0:00:00据Coin98数据统计,2021年第三季度共发生了11起重大DeFi盗窃事故,其中有5起属于跨链桥资产盗窃事故,分别为:AnySwap(7月10日,$790万)、ChainSwap(7月11日.
1900/1/1 0:00:00彭博社周一援引内部消息称,美国证券交易委员会 (SEC) 正在审查币安(Binance)的 BNB 代币是否属于未经注册的证券发行.
1900/1/1 0:00:00