根據受害者提供的地址,CoinHolmes 很快鎖定了駭客的相關地址,並展開了定向追蹤和剖析,最終繪製了一個視覺化路徑轉移全景圖:
如圖所示,此次駭客轉移鏈上資金的手法非常專業、複雜,以致於用視覺化工具做出來之後已經沒了明晰的分層和脈絡。比特幣本身就有複雜的 UTXO 系統,基於此,駭客又用了大批次的賬號分散和轉移資金,甚至還啟用了混淆系統。
一頓操作猛如虎,駭客就像竄進了一個黑暗叢林當中一樣。
資金分散轉移並小額拆分
透過跟進分析巨鯨賬戶被盜的 BTC 資產,PeckShield 安全人員發現駭客在盜取 1,547 個 BTC 後,迅速把資金切割分散,進行小額拆分。駭客這樣做的用意正是以比特幣 UTXO 找零系統的複雜性來大批次分散賬戶和資金,進行增加追蹤的難度和時間成本。
駭客短時間內把資金主要分散到了七個主要地址,各個地址資金情況如下:
以 bc1qre5 開頭的地址為例,PeckShield 使用旗下數字資產視覺化追蹤平臺 CoinHolmes 繪製了其資產流向轉移圖,從下圖中我們可以看出地址上的資金在每筆交易中切割,轉入大額資金的地址會沿著前進方向繼續小額拆分。
資金與其他交易混淆
透過對駭客短時間分散並小額拆分盜取的 1,547 BTC 的分析,我們已經能夠看出駭客洗錢的專業性和複雜性。但在完成這一步分散操作後,駭客還在進一步試圖透過更復雜的混淆系統,讓資產追蹤變得極其困難。
PeckShield 安全人員跟進分析發現,駭客在轉移資金的過程中還夾雜著其他交易的 UTXO 作為混淆,以上文分析的 bc1qre5 開頭的地址為例,下圖紅框標記的交易資金並不在此次被盜的 1,547 BTC 資金中,同時 6ef39b 開頭的交易除了包含 bc1qre 開頭地址的資金,還混雜著其他 UTXO。
比特幣混幣並不是一個新的概念,它最早起源於暗網,駭客或者犯罪分子將獲取的 BTC 混在一起,以避免被追蹤。
具體來說,混幣就是在一個交易中包含大量的輸入和輸出,將交易資訊混亂打散,從而加大找出輸入與輸出之間關聯性的難度。雖然比特幣地址本身具備匿名性,但是相關交易資料是完全公開透明的,透過交易的地址關聯,對資料的分析,是能夠進行鏈上追蹤並鎖定地址背後身份的。
所以為了避免被跟蹤監測,駭客一般都會對盜取的比特幣進行混幣操作。
部分資金流入交易所
PeckShield 安全人員統計發現,自 02月22日 事件發生發至 02月26日,短短4天時間,駭客共用了上百個地址來轉移資金,最深的層級達到了20層。在資金拆分轉移的過程中,有少部分資金已流入了交易所。
依靠於 CoinHolmes 鏈上追蹤的海量地址標籤和實時的機器學習演算法更新,即使是交易所新生成的地址,我們也能夠準確並實時的分析出。據 PeckShield 統計,目前有 11.19 個 BTC 透過多次交易流入到了 1LZVz7 開頭的 Bittrex 交易所地址。
流入 Bittrex 交易所的關鍵路徑圖如上圖所示,如前文所述,在流入交易所前駭客已經採取了混幣的方式,PeckShield 安全人員因此判斷,有一部分資金駭客可能並沒有直接轉至交易所,而是透過類似場外 OTC 的方式等方式進行了清洗。
除了流入交易所的部分資金外,截至目前,大部分被盜資金還駐留在駭客地址中,PeckShield 也正鎖定監控目標資金轉移進一步的動向。
結語
PeckShield 有理由相信,這次駭客應該是一支專業和技術過硬的駭客團伙。
該團伙從選定目標,到鏈上+鏈下長時間的追蹤和突破,著實下了不少功夫。這似乎給一些早期投資加密貨幣且獲利頗豐的大佬們提了一個醒,賺了錢別瞎嘚瑟,有人在時刻盯著您嘞。
儘管非對稱加密私鑰系統給個人賬戶加持了,以現在計算機算力幾乎不可能攻破的鏈上防禦工程,但個人私鑰管理實屬於鏈下行為,駭客可以藉助使用者在網際網路上一些舊有的毛糙習慣進行突破,此次 SIM 卡攻擊正是其中一種。
常言道,“不怕賊偷,就怕賊惦記。”
如果說,只知道鏈上地址,駭客嘗試破解使用者私鑰需要穿越幾世輪迴,持續上億年的話,而一旦使用者的鏈上地址和鏈下身份對上了號,那駭客實施攻擊的方式也無疑多了上萬種可能。