CAS:报告解读之 Ronin Network 安全事件及反分析

本篇主要集中解读RoninNetwork安全事件反分析及工具方法介绍。

事件背景

3月29日，AxieInfinity侧链RoninNetwork发布社区预警，RoninNetwork出现安全漏洞，共17.36万枚ETH和2550万枚USDC被盗，损失超6.1亿美元。据官方发布的信息，攻击者使用被黑的私钥来伪造提款，仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是，黑客事件早在3月23日就发生了，但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件，后者也窃取了超过6亿美元。

事情背景可追溯到去年11月，当时SkyMavis请求AxieDAO帮助分发免费交易，由于用户负载巨大，AxieDAO将SkyMavis列入白名单，允许SkyMavis代表其签署各种交易，该过程于12月停止。但是，对白名单的访问权限并未被撤销，这就导致一旦攻击者获得了SkyMavis系统的访问权限，就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链由九个验证节点组成，其中至少需要五个签名来识别存款或提款事件。攻击者通过gas-freeRPC节点发现了一个后门，最终攻击者设法控制了五个私钥，其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。美国调查机构认为朝鲜黑客组织LAZARUSGROUP是此事件的幕后黑手。

工具及方法

在正式开始反分析之前，先介绍一个高效的工具和一套有效应对复杂情况的分析方法。

报告：90%的家办客户希望将加密货币纳入投资策略:5月26日消息，根据为高净值人士提供服务的全球供应商Ocorian的一份报告，99%的受访者表示，增加对另类资产类别的敞口是一个长期趋势。另类资产类别清单中包括资本融资、商业开发、私募股权、商品和对冲基金等传统另类资产类别以及加密数字资产。80%的家族办公室报告说他们正在努力寻求监管和报告义务方面的支持，另外全球税收制度之间的不一致也是一个问题。由于这些障碍，80%的家族办公室和高净值人士也表示，他们正在努力将业务外包给愿意支持他们履行投资数字资产的监管和报告义务的第三方。[2023/5/26 10:40:48]

基础工具-MistTrack

MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统，具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

AMLRiskScore

MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时，系统会将该地址标记为风险地址。同时，结合慢雾恶意钱包地址库中的恶意地址数据集，对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

联合国报告：朝鲜黑客2022年盗取的加密货币为历年最多:2月7日消息，联合国一份机密报告显示，到目前为止，朝鲜黑客在2022年盗取的加密资产比以往任何一年都多。据路透社报道，这份联合国报告已于上周提交给由15名成员组成的朝鲜制裁委员会。

调查发现，去年与朝鲜有关联的黑客盗取了6.3亿美元至10亿多美元的加密资产，并将外国航空航天和国防公司的网络作为攻击目标。

这份联合国报告还指出，网络攻击比前几年更加复杂，使得追踪被盗资金比以往任何时候都更加困难。

独立制裁监督机构在提交给联合国安理会委员会的报告中表示：“（朝鲜）利用日益复杂的网络技术，进入涉及网络金融的数字网络，并窃取有潜在价值的信息，包括对其武器计划的信息。”

此前消息，据区块链分析公司Chainalysis最新报告表示，整体加密货币损失从2021年的33亿美元增至2022年的38亿美元，2022年为有史以来加密货币被盗损失规模最大的一年。其中，DeFi协议损失占黑客窃取的所有加密货币的82.1%（约31亿美元），远高于2021年的73.3%。在这31亿美元中，64%来自跨链桥接协议。此外，朝鲜网络犯罪集团Lazarus Group于2022年共窃取价值约17亿美元的加密货币，创历史纪录。（Cointelegraph）[2023/2/7 11:51:56]

AddressLabels

MistTrack反追踪系统积累了超2亿个钱包地址标签，地址标签主要包含3个分类：

它归属于什么实体，如Coinbase、Binance

它的链上行为特征，如DeFi鲸鱼、MEVBot以及ENS

报告：过去几个月中大约有54%投资者未出售其持有的加密货币:金色财经消息，根据消费者情报研究平台CivicScience发布的一份报告，大约54%的投资者在过去几个月中没有出售他们持有的加密货币。

然而，大约四分之一的加密货币投资者抛售了几乎所有持仓，20%的受访者只出售少量加密货币。此外，一个人的收入和持有加密货币的能力之间存在直接关联。那些年收入超过15万美元的投资者通常有很高的信念，其中大约70%的人在过去几个月没有卖出任何持仓。相反，大多数年收入低于5万美元的人确实卖掉了全部或至少部分持有的加密资产。（U.Today）[2022/7/27 2:41:02]

一些链下情报数据，如曾使用过imToken/MetaMask钱包

Investigations

追踪和识别钱包地址上的加密资产流向，实时监控资金转移，将链上和链下信息整合到一个面板中，为司法取证提供强有力的技术支持。

通过标记1千多个地址实体、2亿多个地址标签，10万多个威胁情报地址，以及超过9000万个与恶意活动相关的地址，MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查，MistTrack在反分析评估工作中起到至关重要的作用。

报告：比特币与美股的相关性减弱:金色财经报道，据加密市场数据提供商 Kaiko 报告显示，比特币上周与美国股市相关性减弱，将其连续跌幅扩大至创纪录的 8 周。比特币、标普 500 指数和纳斯达克 100 指数的 30 天滚动相关性尽管保持在 0.7 左右的高位，但它已跌至一个多月以来的最低水平。

美联储 FOMC 会议 5 月 3 日至 4 日会议纪要的强硬程度低于预期，再加上通胀放缓和消费者支出上升，支撑了风险资产的缓解性反弹。标普 500 指数和纳斯达克 100 指数分别上涨 6.6% 和 7.1%，结束了连续 7 周的跌势，但冒险情绪未能蔓延到加密货币领域。[2022/5/31 3:51:50]

拓展方法-数据分析

MistTrack可以满足常见的反分析场景，而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后，在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash，Tornado.Cash已成为ETH/BSC链上反的主战场。

新的手法需要新的分析方法，对Tornado.Cash转出分析的需求变得越来越普遍，此处我们将提出一个针对Tornado.Cash资金转出的分析方法：

记录目前已知的信息，已知信息包括转入Tornado.Cash总数，第一笔Tornado.Cash存款时间，第一笔Tornado.Cash存款的区块高度。

将参数填入我们准备的分析面板。

得到初步的Tornado.Cash提款数据结果，再使用特征分类的方式对数据结果做进一步筛选。

报告：需重新设想监督Libra和其他稳定币发行和流通可能性:在国际清算银行的一篇新报告中，三名分析师提出，Libra和其他拟议中的全球稳定币的新颖性，要求监管机构重新设想监督其发行和流通的可能性。报告指出，“稳定币方案是嵌入式监管可能在实践中发挥作用的一个领域。无论是从加强市场运作还是从监管的角度，无论是出于市场完整性、客户和投资者保护的目的，还是出于审慎监管的目的，信息都是监管的核心功能。”在仔细分析了各种挑战之后，作者认为，一个更好的解决方案最终可能是将央行数字货币嵌入类似的范式中。（Cointelegraph）[2020/11/24 21:57:34]

筛选后的结果是一批疑似黑客转出的结果集，取概率最高的结果集并对它进行验证。

Tornado.Cash转出分析结论。

通过这个Tornado.Cash资金转出的分析方法，我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。

显而易见，这个Tornado.Cash资金转出的分析方法同样存在局限性：

转入Tornado.Cash的数量分类也是一个匿名集，资金量越大相应的匿名集数量越少，资金量越小则相反。所以对于资金量小的分析难度更大。

而在BTC链上，通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁，站点已不可用，这里不再做进一步的探讨。

ChipMixer流入资金量巨大，我们同样需要提出一个针对ChipMixer资金转出的分析方法。

识别ChipMixer的提款特征。

输入地址类型

输出地址类型

输入数额特征

版本

锁定时间

bech32(bc1q...)

bech32(bc1q...)

所有的输入数额都满足Chips(即0.001?*2的n次方，n<14)的要求

2

区块高度-1/区块高度-2/区块高度-?3

根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选，得到这个时间段内ChipMixer的提款记录。

对提款记录数据归类结果集，取概率最高的结果集并对它进行验证。

ChipMixer转出分析结论。

反分析详述

根据上述方法，针对RoninNetwork安全事件做出以下分析：

黑客地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96

被盗时间：3月23日

损失统计：173,600ETH、25,500,000USDC

攻击手续费来源：SimpleSwap

资金转移：

ETH资金转移：

黑客将攻击获利的25,500,000USDC兑换为了8,562.6801ETH，所以黑客需要洗币的总额为182,163.737ETH。

黑客获利资金流向主体详情如下表：

注：其他未做统计的流向资金为洗币过程损失。

Tornado.Cash资金转移：

黑客总计转入Tornado.Cash175,100ETH，经过分析，我们得出Ronin黑客从Tornado.Cash提款符合下列特征：从Tornado.Cash转出后直接或转移一层后使用1inch或Uniswap兑换为renBTC，通过renBTC跨链到BTC链。

通过DuneAnalytics，我们将符合上述特征的Tornado.Cash提款和跨链到BTC链的数据筛选出来，并进行有效的可视化展示，如下图：

根据上面的分析图，得到Tornado.Cash转出资金情况如下表：

注：数据有效时间截止于7月20日。

BTC资金转移：

根据对Tornado.Cash资金转移的分析，我们得到符合特征的共计8,075.9329BTC的资金跨链到BTC链。其中的6,191.2542BTC经过分析确认与Ronin黑客相关，再加上从Huobi和FTX提款的439.7818BTC，确认共计6,631.036BTC为Ronin黑客所属资金。此部分资金的进一步转移情况如下表：

注：0.1BTC以下转移额不做统计。

ChipMixer资金转移：

根据BTC资金转移可以看到3460.6845BTC转移到了ChipMixer，通过对BTC链上数据监控以及对ChipMixer的提款数据进行分析，识别出Ronin黑客从ChipMixer共计提款2,871.03BTC。此部分资金的进一步转移情况如下表：

注：0.1BTC以下转移额不做统计。

总结

以上便是关于RoninNetwork安全事件反分析以及工具方法介绍的全部内容，至此，关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成，可以直接点击顶部专题合集#区块链安全与反报告浏览查看。

完整报告下载：

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

标签：CASHCASORNASHOne Basis CashTCASH价格ChaincornCrypto Crash Gaming

聚币热门资讯