本系列是 MistTrack 调查服务的案例研究。
概述
黑客攻击了一个项目,将所有被盗资金转移到 TornadoCash,促使项目方向 MistTrack 寻求帮助。我们通过分析 TornadoCash 交易和分离其他用户的资金,发现了设置的提现地址。经过几天的等待,部分被盗资金终于被转移到交易所。我们向黑客的提现地址发送了链上消息,要求归还被盗资金,否则将面临法律诉讼。被盗资金在 9 小时内退还给了团队。
MistTrack 在案例 01 中发挥了至关重要的作用,具体步骤如下:
1. 建立双方之间的信任
2. 追踪被盗资金
3. 黑客概况分析
4. TornadoCash 提现分析
5. TornadoCash 提款监控
6. 链上通信
7. 必要时执法机构的参与和支持
追踪被盗资金
在接到团队的协助请求后,我们立即对该事件展开调查和分析。
经过分析,我们得出结论,所有被盗资金都转移到了 TornadoCash。
黑客概况分析
MistTrack 根据这些关键点对黑客资料进行了分析。
燃气费来源
使用的工具
运营时间表
黑客资料
攻击前分析
…
此次攻击的初始资金来自 TornadoCash,如下所示。
为了避免被发现,被盗资金经常被调换、桥接,甚至使用复杂的技术进行清洗。在将资金存入 TornadoCash 之前,可以使用各种工具(例如 xxSwap 等)来完成此操作。
TornadoCash 提款分析
根据以上提供的信息,TornadoCash 提款分析是案例 01 能够解决的关键。
下图所示的工具用于提款分析过程。它有助于对符合过滤条件的 TornadoCash 提款地址进行排序。
获取提现地址列表后,我们根据以下特点对提现地址进行分类:
活跃时间段
Gas 价格分布
与类似平台的互动
提款地址模式
提现金额分配
在我们的某个分类中,我们发现它具有相似的特征:
使用过类似平台 — xxSwap
与黑客地址的活跃期相同
与黑客存入 TornadoCash 的金额一致
更重要的是,其中一个提现地址与原始黑客的地址相关联。这证明这些地址与黑客有关。
监控 TornadoCash 提款
我们立即通知相关方所有相关的 TornadoCash 提款地址,并使用我们的 MistTrack AML 监控系统提醒我们任何进一步的活动。
链上通信
经过几天的监控,我们收到一条警报,告知我们黑客将部分被盗资金转移到各个钱包后,又将其发送到交易所。我们立即联系受害者,讨论最佳行动方案。我们建议团队联系执法机构寻求支持,并协助项目向黑客发送链上消息。消息:“在 48 小时内退还被盗资金并保留一部分作为漏洞赏金,否则我们将继续调查并在执法部门的协助下采取法律行动。”在整个过程中,我们向执法部门提供了证据,并持续监控所有涉及的地址。
结果
在向黑客发送链上消息后的 9 个小时内,该团队被盗的大部分资金都已归还。
