ASH:2022 上半年区块链反态势

区块链反态势

匿名性与不可逆是加密货币交易的天然属性，正是这样的原因，在加密货币犯罪频发的情况下，区块链反处于一个至关重要的位置，也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁，不同的群体也不约而同地“组建”起反同盟，其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。

2022上半年，这些群体的反动态如下：

交易平台/资金管理平台/项目方

Tether：2022上半年共计屏蔽了132个ETH地址，这些地址上拥有的USDT-ERC20资产被冻结不可转移。

Circle：2022上半年共计屏蔽了18个ETH地址，这些地址上拥有的USDC-ERC20资金被冻结不可转移。

监管方

美国财政部：4月14日制裁RoninNetwork黑客相关的地址，5月6日制裁加密货币混币器Blender，值得注意的是，美国财政部在此之前从未制裁过加密货币混币器。

区块链安全公司

Chainalysis：3月10日，创建SanctionsList链上数据库合约，共计制裁31个地址。

SlowMist：4月27日，MistTrack反追踪系统正式上线，专注于打击加密货币活动。

众所周知，造成区块链安全事件的黑客、黑色产业链、欺诈者和RugPull项目方一直是的主力，其中最臭名昭著的莫过于朝鲜LAZARUSGROUP黑客组织，给区块链生态安全带来巨大的威胁。

根据开源情报和链上数据分析推测LAZARUSGROUP上半年的动态如下：

1月17日，Crypto.com的少数用户账户遭到未经授权提款。

Ripple案陪审团审判定于2024年第二季度进行:金色财经报道，一位联邦法官发布了何时可以在陪审团面前听到Ripple vs SEC案论点的时间表，周三公布的法庭文件显示，Ripple vs SEC诉讼案预计将于2024年第二季度在纽约南区接受审判。双方都有两周时间向法庭提交限制日期。 法官补充说，Ripple和SEC必须在2023年12月4日之前提交所有审前文件、文件证据和排除陪审团证据的动议。

最新提交的文件是在法官Analisa Torres对该案作出部分简易判决几周后提交的，Torres裁定，虽然Ripple的XRP机构销售被认定构成未注册的证券发行，但程序化销售并不构成。

根据Torres的简易判决，任何一方都必须在“合理”的时间内提出上诉请求。SEC尚未提出上诉，也没有提交中间上诉的严格期限。然而，法律专家表示，如果提出上诉，SEC很可能会在本周末之前提出。[2023/8/10 16:16:15]

2月8日，TheIRAFinancial的Gemini托管账户被恶意提款。

3月23日，RoninNetwork跨链桥被盗成为加密货币领域损失最大的黑客攻击事件之一。

在这些与LAZARUSGROUP相关的安全事件中，我们可以通过他们成体系的手法发现他们的痕迹：

初期：将ETH链上的获利资金全部兑换为ETH，并将所有的ETH分批转入Tornado.Cash或者交易平台。

中期：从Tornado.Cash分批提款后兑换为renBTC代币跨链到BTC链。

后期：在BTC链上，从renBTC提款后汇总资金，并进一步转移到Coinjoin和混币器。

在黑客、黑色产业链、欺诈者和RugPull项目方过程中，自然少不了一些工具的帮忙，常见的工具有ETH/BSC链上的Tornado.Cash，BTC链上的Coinjoin工具、混币器、隐私钱包、换币平台和一些交易平台。

三箭资本创始人：Telegram等通讯应用可能在2022年推出加密支付:12月27日消息，三箭资本创始人zhu su发推称，在2022年可能出现这样的言论：经过多年的炒作，Telegram、Signal、Line等通讯应用+支付软件都推出加密支付，并为加密领域带来其10亿用户。[2021/12/27 8:06:26]

一些常见工具上半年的存提款数据如下：

Tornado.Cash：2022上半年用户共计存款955,277ETH到Tornado.Cash，共计从Tornado.Cash提款892,573?ETH。

ChipMixer：2022上半年用户共计存款26,021.89BTC到ChipMixer，共计从ChipMixer提款14,370.57BTC。

Blender：LAZARUSGROUP使用此混币器洗RoninNetwork跨链桥被盗的钱，于5月6日被美国财政部制裁，目前站点已不可用。

Clover携手姊妹网Sakura共同公布2022项目路线图:12月21日消息，Clover Finance在赢得首批第五个波卡平行链插槽并接入Polkadot中继链之后，其姊妹网络Sakura也于同期赢得Kusama平行链插槽，即将上线。Clover和Sakura在今天同时发布2022年项目路线图，Clover将打造通向全能宇宙的护照，以上层多链钱包应用、中层跨链互操作性协议以及底层EVM和原生资产跨链功能，全方位提供用户到开发者的去中心化基础设施解决方案。

Sakura则一改Kusama测试网络的定位，提出前卫网络（Avant-Garde Network）的概念，设计实现包括Sakura名系统和信息通讯系统在内的等多种去中心化身份组件，有别于Clover网络的功能和设定，将致力于通过Web3.0 + Social构建元宇宙的基础设施。[2021/12/21 7:54:42]

在反分析过程中，始终存在着几个核心的问题：发起攻击的手续费来自哪里？的资金去了哪里？我们将通过上半年的典型安全事件来探索这两个问题。

发起攻击的手续费来自哪里？

根据典型安全事件攻击手续费来源图，典型安全事件的攻击手续费大多都来自Tornado.Cash提款，也有从换币平台、交易平台提款或从其他个人地址转移的情况。

的资金去了哪里？

声音 | 孙宇晨：2020年第一季度将引进去中心化金融平台:据最新消息，波场TRON创始人孙宇晨今日11:00正在一直播平台进行直播，孙宇晨在直播中表示，2020年将大力发展Defi（去中心化金融），鼓励去中心化金融平台在波场TRON上发展，此外，还有国家政府即将跟波场达成战略合作，使波场TRON成为区块链主要开发平台。[2020/1/29]

通过对上半年典型安全事件的整体分析，的主要流程发生在ETH链或BTC链，如果资金没有在这两条链上，黑客也会考虑将资金跨链到这两条链进一步变现。

通过对典型安全事件被盗资金的ETH和BTC流向进行分析，得到ETH/BTC资金流向图，能够初步评估出资金的态势。

ETH资金流向图

根据典型安全事件ETH资金流向图，74.6%资金流向Tornado.Cash，资金量高达300,160ETH；23.7%资金保留在黑客地址，暂未进一步转移，资金量为95,570ETH；1.5%资金流向交易平台，资金量为6,250ETH。

动态 | DApp活跃度梳理：四大公链DApp昨日活跃用户量总计202242个:据DAppTotal.com 09月01日数据显示，昨天，ETH/EOS/TRON/IOST四大公链DApp单日活跃用户共有202,242个，其中EOS公链占比59.57%，表现最佳。四大公链整体数据对比：总用户量(个): EOS(120,468) > ETH(64,185) > TRON(17,589) > IOST(13,915)；总交易次数(笔)：EOS(4,298,497) > TRON(1,048,060) > IOST(188,678) > ETH(177,708)；总交易额(美元)：ETH(8,407,580) > TRON(7,231,347) > EOS(5,112,635) > IOST(758,025)；跨四条公链 TOP 3 DApp 分别为：按用户量: Hash Baby(EOS)、ADM(EOS)、Endless Game(EOS)；按交易次数：Hash Baby(EOS)、WINk(TRON)、Newdex(EOS)；按交易额：NEST(ETH)、WINk(TRON)、Newdex(EOS)。[2019/9/1]

BTC资金图

根据典型安全事件BTC资金流向图，48.9%资金流向ChipMixer，资金量高达3,460BTC；36.5%资金保留在黑客地址，暂未进一步转移，资金量为2,586BTC；6.2%资金流向Blender，3.8%资金流向CryptoMixer，2.1%资金流向未知主体，1.3%资金流向renBTC，0.7%资金流向WasabiCoinjoin，0.1%资金流向Binance交易平台。

工具及方法

在正式开始反分析之前，我们首先要有一个高效的工具和一套有效应对复杂情况的分析方法。

基础工具–MistTrack

MistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统，具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

AMLRiskScore

MistTrack反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算AML风险评分。当地址所属实体为高风险主体或地址与已知的风险主体存在资金来往时，系统会将该地址标记为风险地址。同时，结合慢雾恶意钱包地址库中的恶意地址数据集，对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

AddressLabels

MistTrack反追踪系统积累了超2亿个钱包地址标签，地址标签主要包含3个分类：

1.它归属于什么实体，如Coinbase、Binance

2.它的链上行为特征，如DeFi鲸鱼、MEVBot以及ENS

3.一些链下情报数据，如曾使用过imToken/MetaMask钱包

Investigations

追踪和识别钱包地址上的加密资产流向，实时监控资金转移，将链上和链下信息整合到一个面板中，为司法取证提供强有力的技术支持。

通过标记1千多个地址实体、2亿多个地址标签，10万多个威胁情报地址，以及超过9000万个与恶意活动相关的地址，MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查，MistTrack在反分析评估工作中起到至关重要的作用。

拓展方法-数据分析

MistTrack可以满足常见的反分析场景，而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后，在ETH/BSC链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash，Tornado.Cash已成为ETH/BSC链上反的主战场。

新的手法需要新的分析方法，对Tornado.Cash转出分析的需求变得越来越普遍，此处我们将提出一个针对Tornado.Cash资金转出的分析方法。

记录目前已知的信息，已知信息包括转入Tornado.Cash总数，第一笔Tornado.Cash存款时间，第一笔Tornado.Cash存款的区块高度。

将参数填入我们准备的分析面板?。

得到初步的Tornado.Cash提款数据结果，再使用特征分类的方式对数据结果做进一步筛选。

筛选后的结果是一批疑似黑客转出的结果集，取概率最高的结果集并对它进行验证。

Tornado.Cash转出分析结论。

通过这个Tornado.Cash资金转出的分析方法，我们已成功分析出RoninNetwork等多个安全事件从Tornado.Cash转出后的资金详情。

显而易见，这个Tornado.Cash资金转出的分析方法同样存在局限性：转入Tornado.Cash的数量分类也是一个匿名集，资金量越大相应的匿名集数量越少，资金量越小则相反。所以对于资金量小的分析难度更大。

而在BTC链上，通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁，站点已不可用，这里不再做进一步的探讨。

ChipMixer流入资金量巨大，我们同样需要提出一个针对ChipMixer资金转出的分析方法。

识别ChipMixer的提款特征。

根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选，得到这个时间段内ChipMixer的提款记录。

对提款记录数据归类结果集，取概率最高的结果集并对它进行验证。

ChipMixer转出分析结论。

总结

反仍然是区块链发展的重中之重，面对层出不穷的被黑事件，针对其独有的特点，相应的反规范也需要具体问题、具体分析、具体应对。文中所提到的典型安全事件具体见完整报告内容。

完整报告下载：

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf

标签：ETHTORASHADOETHMAXY币BerrystoreLilith Cash Sharepolkadottedtie

pepe最新价格热门资讯