據路透社報道,美國旅遊巨頭公司cwt的年收入為15億美元,本週向一個駭客組織支付了450萬美元的比特幣,以應對導致勒索軟體被盜的勒索軟體攻擊。
許多比特幣都經過了世界上最大的加密貨幣交易所。駭客沒有使用混幣來洗錢。
但這是有原因的。
像之前的匿名幣都適合駭客洗白資金,比如達世幣、門羅幣等,將很多人的錢揉在一起,使得無法追蹤鏈上具體某個地址。
一名網路安全分析師 追蹤了美國旅遊巨頭cwt支付的450萬美元比特幣贖金的一部分。但是,駭客選擇在眾人最不會想到的地方洗錢,在大型加密貨幣交易所中一目瞭然。
cwt的年收入為15 億美元,於7月28日向駭客支付了比特幣贖金,以重新獲得對兩個tb的檔案的訪問許可權,並阻止它們公開資訊。這些檔案包括員工資料,財務檔案和其他資訊。
以色列網路安全公司zengo的聯合創始人塔爾·貝里裡(tal be'ery)發現了這筆錢發生了什麼。
be'ery發現仍在逃的駭客們試圖透過世界上一些大型的加密貨幣交易所(包括binance,coinbase和huobi)來洗錢。
7月28日,據whale alert訊息,北京時間7月28日16:46,1200萬枚usdt從tether轉向幣安。
據whalealert資料顯示,北京時間07月28日19:37,1400萬枚usdt從tether treasury錢包轉入幣安,按當前價格計算,價值約1405.2萬美元。
7月31日,據whale alert資料顯示,北京時間07月31日18:52,1400萬枚usdt從tether treasury錢包轉入幣安。
8月1日,whale alert資料顯示,北京時間8月1日18:15, 1600萬枚usdt從tether treasury轉入幣安。
8月4日,據whale alert資料,北京時間21點26分49999836枚usdt從bitfinex轉進火幣。
據whale alert資料,北京時間22點33分49,999,830枚usdt從bitfinex轉進火幣。
be'ery認為:“儘管大多數勒索軟體案件都是閉門造車,但cwt及其攻擊者無意間將對話的線索公開了,讓公眾可以窺見與勒索軟體有關的談判的另一個秘密世界,”
be'ery和他在zengo的團隊利用路透社記者發現的有關信件的資訊,將錢轉入了加密交易所。
在cwt向駭客支付贖金後僅20分鐘,駭客就開始分配資金。
美國區塊鏈取證公司cipherblade的執行長rich sanders追蹤了decrypt的資金,發現他們將大約58%的資金髮送給了交易所。
駭客為什麼不使用混幣?
一般情況下,會需要5次嚴格的混幣操作,這種混幣最多可流入10萬個新地址。
實際操作上,混幣就是割裂輸入地址和輸出地址。把很多不相干的人和不相干的交易放到一個交易中,在外界看來,就無法追蹤哪一筆是正常交易哪一筆是洗錢。
可以從其中看出,混幣需要花費一定時間和精力才能完成整個過程,稍有不慎就會在某個環節上暴露被發現。
那麼,為什麼駭客透過諸如binance之類的大型加密貨幣交易所而不是所謂的混幣來轉移他們的錢呢?這種混幣透過將很多人的交易聚集在一起來掩蓋交易內容?
攻擊者並沒有尋求最佳方法。他們正在尋找最容易擺脫的方式,顯然,這種方法足以將他們帶到他們想要的地方。” be'ery認為。
他說,他們不使用這種方式的原因是時間。
混幣涉及許多人匿名聯合在一起以混淆他們的資金。然後,混合人將所有這些資金髮送到這些人擁有的地址,並用他們投入的金額記入貸方。由於這些錢已經被混合,因此很難弄清它們的來源。
但是要使混幣完成,需要很多人。
而且,如果要混合數百萬美元,則需要很多其他豐富的混幣來保持匿名。簡而言之,要'混合',您需要從多方中獲得很多其他錢,否則,它就不會混合,因為這主要是您的錢。不會有太多人願意快速組合150萬美元。” be'ery說。
新加坡網路安全分析師koh weijie研究了基於ethereum的micromix,為decrypt提供了更多細節。他告訴decrypt: “將大量資金分成少量存款不是很實際。”
“可以使用混幣,但瓶頸在於所涉及的匿名池的大小。” 他補充說,某些型別的分析可能會使使用混幣的風險更高,因為“可以根據時間和方式將存款和取款進行關聯。”
為何駭客利用交易所洗錢
區塊鏈法證分析師裡奇·桑德斯(rich sanders)表示,有時駭客會透過大型交易所推動資金以實施一種稱為“跳鏈”的策略,駭客利用交易所購買少量的各種加密貨幣,然後使用不同的賬戶將其傳送到不同的交易所。
桑德斯表示,駭客經常會使用不要求客戶身份的交易平臺,或者使用他們“提供資金在交易平臺上註冊帳戶並出售其帳戶資訊”的人的身份。
桑德斯說,很可能他們會在洗錢之前將所有這些問題都解決掉。“那些執行勒索軟體已經具有'作戰能力',因此花一些錢在一些兌換賬戶或其他洗錢幫助上就是小事一樁”。
儘管這很耗時,但還是有好處的。桑德斯表示,“從調查的角度來看,每 $ 20,000筆交易的捆綁交易]就是……四到五個發起交易。基本上,跳鏈使其成為資源密集型的噩夢。
在交易所的選擇上,defi投資者馮先生認為,之所以選擇大型交易所比如幣安、火幣,是因為大交易所交易量大,不容易被發覺,“洗錢只是為了轉移資產”。
相比較大交易所,小交易所資金體量小,而且風控較嚴。
桑德斯認為otc(場外交易)是“更明智的選擇。我認為,將btc倒入攪拌機中是魯莽而愚蠢的,他認為,攪拌機並非總是堅不可摧。
但最近的趙東事件證明,場外交易已然是警方關注的重點領域。今年3月已發生凍卡的先例,6月凍卡潮在東莞爆發,參與otc交易的上千張銀行卡均遭到凍結,otc交易商損失慘重。
區塊鏈法律合規聯盟表示,對otc交易商來說,即便在合法領域內進行著正常的買賣活動,若未能盡到合理的注意義務,為黑錢的流入流出變相提供通道,則可能構成“掩飾隱瞞犯罪所得、犯罪所得收益罪”,而該罪也是場外交易商唯一會涉及到的犯罪。
因此,一目瞭然地洗錢可能並不那麼愚蠢。當然,那是在愚蠢的決定入侵一家價值十億美元的公司後,也會有人鋌而走險。
