本系列是 MistTrack 調查服務的案例研究。

概述

黑客攻擊了一個項目,將所有被盜資金轉移到 TornadoCash,促使項目方向 MistTrack 尋求幫助。我們通過分析 TornadoCash 交易和分離其他用戶的資金,發現了設置的提現地址。經過幾天的等待,部分被盜資金終於被轉移到交易所。我們向黑客的提現地址發送了鏈上消息,要求歸還被盜資金,否則將面臨法律訴訟。被盜資金在 9 小時內退還給了團隊。

MistTrack 在案例 01 中發揮了至關重要的作用,具體步驟如下:

1. 建立雙方之間的信任

2. 追蹤被盜資金

3. 黑客概況分析

4. TornadoCash 提現分析

5. TornadoCash 提款監控

6. 鏈上通信

7. 必要時執法機構的參與和支持

追蹤被盜資金

在接到團隊的協助請求後,我們立即對該事件展開調查和分析。

經過分析,我們得出結論,所有被盜資金都轉移到了 TornadoCash。

黑客概況分析

MistTrack 根據這些關鍵點對黑客資料進行了分析。

  • 燃氣費來源

  • 使用的工具

  • 運營時間表

  • 黑客資料

  • 攻擊前分析

此次攻擊的初始資金來自 TornadoCash,如下所示。

爲了避免被發現,被盜資金經常被調換、橋接,甚至使用複雜的技術進行清洗。在將資金存入 TornadoCash 之前,可以使用各種工具(例如 xxSwap 等)來完成此操作。

TornadoCash 提款分析

根據以上提供的信息,TornadoCash 提款分析是案例 01 能夠解決的關鍵。

下圖所示的工具用於提款分析過程。它有助於對符合過濾條件的 TornadoCash 提款地址進行排序。

獲取提現地址列表後,我們根據以下特點對提現地址進行分類:

  • 活躍時間段

  • Gas 價格分佈

  • 與類似平臺的互動

  • 提款地址模式

  • 提現金額分配

在我們的某個分類中,我們發現它具有相似的特徵:

  • 使用過類似平臺 — xxSwap

  • 與黑客地址的活躍期相同

  • 與黑客存入 TornadoCash 的金額一致

更重要的是,其中一個提現地址與原始黑客的地址相關聯。這證明這些地址與黑客有關。

監控 TornadoCash 提款

我們立即通知相關方所有相關的 TornadoCash 提款地址,並使用我們的 MistTrack AML 監控系統提醒我們任何進一步的活動。

鏈上通信

經過幾天的監控,我們收到一條警報,告知我們黑客將部分被盜資金轉移到各個錢包後,又將其發送到交易所。我們立即聯繫受害者,討論最佳行動方案。我們建議團隊聯繫執法機構尋求支持,並協助項目向黑客發送鏈上消息。消息:“在 48 小時內退還被盜資金並保留一部分作爲漏洞賞金,否則我們將繼續調查並在執法部門的協助下采取法律行動。”在整個過程中,我們向執法部門提供了證據,並持續監控所有涉及的地址。

結果

在向黑客發送鏈上消息後的 9 個小時內,該團隊被盜的大部分資金都已歸還。