У 2023 році галузь Web3 зазнала понад 940 випадків порушення безпеки, як великих, так і невеликих, що зріс на понад 50% у порівнянні з 2022 роком, та втрати в сумі 1,79 мільярди доларів. Зокрема, у третьому кварталі було найбільше випадків порушення безпеки (360 випадків) і найбільші втрати (7,4 мільярдів доларів), а втрати збільшилися на 47% у порівнянні з 2022 роком. Зокрема, у липні сталося 187 випадків порушення безпеки, а втрати склали 350 мільйонів доларів США.

Фігура: Кількість щоквартальних/щомісячних випадків порушень безпеки для Web 3 2023

Фігура: Веб 3 2023 щоквартальні / щомісячні втрати від інцидентів безпеки (у мільйонах доларів)

Спершу, хакерські атаки все ще є основною причиною значних втрат. Протягом 2023 року сталося 216 випадків взлому, що призвело до збитків у розмірі 1,06 мільярда доларів. Порушення контрактів, крадіжка приватних ключів, фішингові атаки та національні хакерські атаки все ще є важливими причинами, що загрожують безпеці екосистеми Web3.

Друге, Rugpull та фінансові шахрайства на зростанні. У 2023 році сталося 250 випадків Rugpull та Scam-шахрайств, і найчастіше такі події траплялися на BNBChain. Шахраївські проекти привертають інвесторів до участі, публікуючи видимо привабливі криптопроекти та надаючи деяку фальшиву ліквідність. Після того, як залучено достатню кількість коштів, всі кошти раптово крадуться, а активи перекладаються. Цей тип шахрайства призводить до серйозних фінансових втрат для інвесторів, а також значно ускладнює вибір правильного проекту для інвесторів.

Крім того, викрадення даних стає популярним за допомогою криптовалют для вимагання викупу, таких як Lockbit, Conti, Suncrypt та Monti. Криптовалюта важче відстежувати, ніж фіатні гроші, і важливість використання інструментів аналізу ланцюжка блоків для відстеження та виявлення груп злочинців-вимагачів також стає більшою.

Нарешті, у злочинних діях, таких як хакерські атаки на криптовалюту та шахрайська вимога, злочинцям часто доводиться відмивати гроші за допомогою переказів коштів на ланцюжку та ОТС після отримання криптовалюти. Відмивання грошей зазвичай використовує комбінацію децентралізованих та централізованих методів. Централізовані біржі є найбільш концентрованими місцями для відмивання грошей, за якими слідують платформи змішування монет на ланцюжку.

2023 - також рік значного розвитку регулювання Web3. FTX2.0 було перезапущено, Binance було санкціоновано, адреси USDT заборонені, такі як Хамас, і SEC у січні 2024 року прийняла Bitcoin spot ETF. Ці вітчизняні події свідчать про те, що регулювання глибоко впливає на розвиток Web3.

Цей звіт проведе системний аналіз ключових тем, таких як кібератака Web3 2023 року, шахрайство Rugpull, вимагання викупу, відмивання грошей криптовалюти, регулювання Web3 тощо, щоб зрозуміти ландшафт безпеки розвитку криптовалютної індустрії.

1. Уразливості договору

Атаки на вразливість контрактів переважно відбувалися на Ethereum. У другій половині 2023 року на Ethereum сталося 36 атак на вразливість контрактів, збитки виявилися понад 200 мільйонів доларів США, за якими став BNBChain. Щодо методів атак, вади бізнес-логіки та атаки з флеш-кредитів все ще є найпоширенішими.

Фігура: Інциденти та збитки за квартал 2023 року у веб-просторі (у мільйонах доларів)

Фігура: Кількість та обсяг щомісячних вразливостей контрактів та хакерських атак на Web 3 2023H2

Фігура: Кількість атак на використання контрактів та суми втрат за місяць на різних ланцюгах Web 3 2023H2

Фігура: Кількість та обсяг збитків, спричинених вразливістю контракту веб-3 2023H2 за допомогою конкретних методів атаки

Типовий аналіз подій: вразливості Vyper спричиняють атаки на проекти, такі як Curve та JPEG’d

Візьмемо атаковане JPEG, як приклад:

Адреса атакуючого: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Контракт атакуючого: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Транзакції атаки:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Атакувальники (0x6ec21d18) створили контракт 0x466B85B4 та позичили 80 000 WETH від [Balancer: Vault] за допомогою швидких позик.

(2) Атакувальники (0x6ec21d18) додали 40 000 WETH до ліквідного пулу peth-ETH-F (0x9848482d) та отримали 32 431 pETH.

(3) Пізніше, нападники (0x6ec21d18) неодноразово видаляли ліквідність з пулу ліквідності peth-ETH-F (0x98482D).

(4) В кінці кінців, нападники (0x6ec21d18) отримали 86,106 WETH, і після повернення флеш-кредиту, прибуток 6,106 WETH залишився на ринку.

Аналіз вразливості: Цей напад є типовим нападом повторного входу. Декомпіляція байткоду контракту атакованого проекту. Ми можемо побачити з наступної фігури: функції add_liquidity та remove_liquidity не є однаковими при перевірці значення слота сховища. Використовуючи різний слот сховища, блокування повторного входу може не працювати. На цей момент підозрюється, що це баг в дизайні Vyper.

Поєднавши з офіційним твітом Curve. У кінцевому підсумку, метою була помилка версії Vyper. Ця вразливість існує у версіях 0.2.15, 0.2.16 та 0.3.0, і є недолік у дизайні блокування повторного входу. Ми порівнюємо 0.2.14 та 0.3.0 перед 0.2.15 Пізніше, у версії 0.3.1, було виявлено, що ця частина коду постійно оновлюється. У старих версіях 0.2.14 та новіших 0.3.1 ця проблема відсутня.

У файлі налаштувань, пов'язаних з перезаходом, data_positions.py, що відповідає Vyper, значення storage_slot буде переписане. У випадку, якщо слот, який перший здобув блокування, - 0, то при наступному виклику функції слот блокування збільшиться на 1. На цей момент блокування перезаходу буде скасовано.

II. Атаки фішингу

Фішингові атаки – це тип кібератаки, спрямований на обман і спонукання цілей до отримання конфіденційної інформації або спонукання їх до виконання зловмисних дій. Цей тип атаки зазвичай здійснюється через електронну пошту, соціальні мережі, SMS або інші канали зв'язку. Зловмисники маскуються під довірені організації, такі як сторони проєкту, органи влади, KOL тощо, щоб заманити жертв надати приватні ключі, мнемоніку або авторизацію транзакцій. Подібно до атак на вразливість контрактів, фішингові атаки показали високу частоту та високі втрати в 3 кварталі. Всього сталося 107 фішингових атак, з яких 58 сталися в липні.

Фігура: Кількість фішингових атак та збитків за квартал в мережі 3 2023 року (мільйони доларів)

Фігура: Кількість щомісячних фішингових атак на Веб 3 2023

Аналіз онлайн-передачі активів типових фішингових атак

7 вересня 2023 року адреса (0x13e382) постраждала від фішингової атаки та втратила понад 24 мільйони доларів. Фішингові хакери використовували крадіжку коштів, обмін коштів і децентралізовані перекази коштів. З остаточних втрачених коштів 3 800 ETH було переведено на Tornado.Cash партіями, 10 000 ETH було переведено на проміжну адресу (0x702350), а 1078 087 DAI залишається за проміжною адресою (0x4F2F02).

Це типова атака на рибалку. Шляхом викрадення активів користувачів шахраячи авторизації гаманців або приватних ключів, атакувальники сформували чорний ланцюг галузі рибалки + відмивання коштів. Наразі все більше і більше шахраїв та навіть національні хакери використовують методи рибалки для вчинення злочинів у сфері Веб3, що вимагає уваги та бджілість усіх.

Згідно з платформою аналізу великих даних on-chain від SharkTeam ChainAegis (https://app.chainaegis.com/) У наступному аналізі ми проаналізуємо процес шахрайства типових фішингових атак, переказ коштів і поведінку шахраїв у мережі.

(1) Процес фішингової атаки

Адреса постраждалого (0x13e382) надає rETH та stETH адресі шахрая 1 (0x4c10a4) через «Збільшення дозволу».

Адреса шахрая 1 (0x4c10a4) перевела 9 579 stETH з рахунку адреси жертви (0x13e382) на адресу шахрая 2 (0x693b72) на суму приблизно 15,32 мільйона доларів.

Адреса шахрайника 1 (0x4c10a4) перекинула 4,850 rETH з рахунку адреси постраждалого (0x13e382) на рахунок адреси шахрайника 2 (0x693b72) на суму приблизно 8,41 мільйона доларів.

(2) Обмін та переказ активів

Обміняйте вкрадені stETH та rETH на ETH. Починаючи з раннього ранку 2023-09-07 року, адреса шахрая 2 (0x693b72) виконала кілька обмінних операцій на платформах UniSwapV2, UniSwapv3 та Curve відповідно, обмінюючи всі 9 579 stETH та 4 850 rETH на ETH, загалом 14 783,9413 ETH.

Обмін stETH:

Обмін rETH:

Обміняйте деяку ETH на DAI. Адреса шахрая 2 (0x693b72) обміняла 1 000 ETH на 1 635 047,761675421713685327 через платформу UniSwapv3 DAI. Шахраї використовували децентралізовані перекази коштів на кілька проміжних адрес гам, загалом 1 635 139 DAI і 13 785 ETH. З них 1 785 ETH було переведено на проміжну адресу (0x4F2F02), 2 000 ETH було переведено на проміжну адресу (0x2ABDC2), і 10 000 ETH було переведено на проміжну адресу (0x702350). Крім того, наступного дня проміжня адреса (0x4F2F02) отримала 1 635 139 DAI

Перехід коштів проміжного гаманця (0x4F2F02):

Адрес пройшов трирівневий переказ коштів і має 1,785 ETH та 1,635,139 DAI. Децентралізований переказ коштів DAI, а невеликі суми конвертовано в ETH

По-перше, шахраї почали переказувати 529 000 DAI через 10 транзакцій рано вранці 07.09.2023. Згодом перші 7 із 452 000 DAI було переведено з проміжної адреси на 0x4E5B2E (fixedFloat), восьму — з проміжної адреси на 0x6CC5F6 (OKX), а останні 2 загалом 77 000 DAI було переведено з проміжної адреси на 0xF1DA17 (exCH).

Друге, 10 вересня, 28,052 DAI було обмінено на 17,3 ETH через UniswapV2.

З 8 по 11 вересня було здійснено 18 транзакцій, і всі 1,800 ETH були переказані на Tornado.Cash.

Після трансферу адреса в кінцевому підсумку залишила викрадені кошти у сумі 1078,087 DAI, які не були переказані.

Переказ коштів на проміжну адресу (0x2ABDC2):

Адреса була передана через рівень фондів і має 2 000 ETH. По-перше, 11 вересня адреса перевела 2000ETH на проміжну адресу (0x71C848).

Проміжна адреса (0x71C848) потім передала кошти через дві фінансові трансфери 11 вересня і 1 жовтня відповідно, загалом 20 транзакцій, по 100 ETH кожна, загалом 2000 ETH на Tornado.Cash.

Адреса була перенесена через рівень фондів і утримує 10 000 ETH. Станом на 8 жовтня 2023 року 10 000 ETH не було перенесено на рахунок цієї адреси.

Відстеження підказок адреси: Після аналізу історичних транзакцій адреси шахрая 1 (0x4c10a4) та адреси шахрайки 2 (0x693b72) було виявлено, що адреса EOA (0x846317) переказала 1,353 ETH на адресу шахрайки 2 (0x693b72), а джерелом фінансування цієї адреси EOA були гарячі гаманці централізованих бірж KuCoin та Binance.

III. Розтягання килима та шахрайство

Частота інцидентів шахрайства з Rugpull у 2023 році показала значну тенденцію до зростання. У 4-му кварталі було зареєстровано 73 випадки із сумою збитків US$19 млн, із середнім одноразовим збитком близько US$26 000. Кварталом з найбільшою часткою збитків від шахрайства з регпулом за весь рік був 2 квартал, за ним слідував 3 квартал, на який припало понад 30% збитків.

У другій половині 2023 року сталося 139 випадків Rugpull та 12 випадків шахрайства, що призвело до втрат у розмірі $71.55 мільйона та $340 мільйонів відповідно.

Події з відведенням коштів в основному відбувалися на BNBChain у другій половині 2023 року, досягнувши 91 раз, що становить понад 65%, а збитки склали $29,57 мільйона, що становить 41% втрат. Ethereum (44 рази) йшов у слід за ним, з втратами у розмірі $7,39 мільйона. Крім Ethereum та BNBChain, інцидент з відведенням коштів BALD стався на Base Chain в серпні, призводячи до серйозних втрат у розмірі $25,6 мільйона.

Фігура: Кількість випадків Rugpull та шахрайства та збитки за квартал для Web 3 2023 (мільйони доларів)

Малюнок: Кількість інцидентів і збитків від Rugpull і Scam на місяць у Web 3 2023H2

Фігура: Кількість щомісячних випадків Rugpull та суми втрат в різних ланцюгах Web 3 2023H2

Аналіз поведінки фабрики шахрайства Rugpull

Модель фабрики шахрайства з килимами популярна на BNBChain для масового виробництва токенів Rugpull і вчинення шахрайства. Давайте подивимося на схему шахрайства фабрики Rugpull з підробленими токенами SEI, X, TIP і Blue.

(1) SEI

Спочатку фейковий власник токену SEI 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 обміняв 249 фейкових SEI на 1U.

Потім 0x6f9963448071b88fb23fd9971d24a87e5244451A здійснила операції оптової купівлі та продажу. Під час операцій купівлі та продажу ліквідність токену значно зросла, а ціна також збільшилася.

Через рибальство та інші методи просування велика кількість користувачів спокушається купити. При збільшенні ліквідності ціна токена подвоюється.

Коли ціна токена досягає певної вартості, власник токена входить на ринок і продає, щоб виконати операцію Rugpull. Як видно на зображенні нижче, період входу в урожай та ціна є різними.

(2) Фальшивий X, фальшивий TIP, фальшивий синій

Спочатку власники токенів X, TIP та Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 обміняли 1U на відповідний токен. Потім, як і у випадку фальшивого токену Sei.

0x6f9963448071b88fb23fd9971d24a87e5244451A оптові операції купівлі-продажу. За операціями купівлі-продажу ліквідність помітно зросла, а ціни зросли.

Потім його просували через фішинг та інші канали, щоб залучити велику кількість користувачів до покупок. Зі збільшенням ліквідності ціна токена подвоїлася.

Подібно до фальшивого SEI, коли ціна токена досягає певного значення, власник токена виходить на ринок, щоб продати та виконати операцію Rugpull. Як видно з малюнка нижче, період вступного збору врожаю і ціна все різні.

Графік коливань для фейкових SEI, фейкових X, фейкових TIP та фейкових Blue токенів виглядає наступним чином:

Ми можемо вчитися з можливості відстеження коштів та поведінкових шаблонів:

У вмісті відстежування фондів коштів створювача монет та створювача токенів походять з різних рахунків EOA. Також відбуваються фінансові операції між різними рахунками. Деякі з них переказуються через фішингові адреси, деякі отримані через попередні токени Rugpull, а інші отримані через змішані платформи, такі як Tornado Cash. Переказ коштів різними способами спрямований на створення складних та заплутаних фінансових мереж. Різні адреси також створили кілька фабричних контрактів токенів та масово виробляли токени.

При аналізі поведінки токену Rugpull ми знайшли адресу

0x6f9963448071b88fb23fd9971d24a87e5244451a є одним з джерел фінансування. Метод пакетної обробки також використовується для маніпулювання цінами токенів. Адреса 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 також виступає як постачальник фінансування, забезпечуючи відповідні кошти для декількох власників токенів.

Через аналіз можна побачити, що позаду цього ряду дій стоїть шахраївська група Web3 з чітким розподілом праці, яка формує чорний промисловий ланцюг. Це в основному стосується збору гарячих подій, автоматичного випуску монет, автоматизованої торгівлі, фальшивої реклами, фішингових атак та збору Rugpull, які в основному відбувалися на BNBChain. Видані фальшиві токени Rugpull усі тісно пов'язані з гарячими подіями у галузі та мають велику плутанину та стимулювання. Користувачі мають завжди бути пильними, раціональними та уникати непотрібних збитків.

IV. Вимоги за викуп

Загроза атак програм-вимагачів у 2023 році продовжує постійно загрожувати установам і підприємствам. Атаки програм-вимагачів стають дедалі складнішими, і зловмисники використовують різноманітні методи для використання вразливостей в організаційних системах і мережах. Атаки програм-вимагачів, що поширюються, продовжують становити серйозну загрозу для бізнес-організацій, окремих осіб і критично важливої інфраструктури в усьому світі. Зловмисники постійно адаптують і вдосконалюють свої стратегії атак, використовуючи витік вихідного коду, інтелектуальні схеми атак і нові мови програмування, щоб максимізувати свої незаконні прибутки.

LockBit, ALPHV/BlackCat, та BlackBasta наразі є найактивнішими організаціями, які займаються вимаганнями викупу.

Фігура: Кількість жертв організацій вимагань

На сьогодні все більше та більше вимагачів використовують криптовалютні методи оплати викупу. Візьмемо, наприклад, Lockbit. Компанії, які недавно постраждали від Lockbit, включають TSMC в кінці червня цього року, Boeing у жовтні і повністю контрольоване підприємство Industrial and Commercial Bank of China в листопаді. Більшість з них використовують Bitcoin для збору викупу, а LockBit буде відмивати криптовалютні кошти після отримання викупу. Давайте проаналізуємо модель відмивання грошей викупників на прикладі Lockbit.

Згідно з аналізом ChainAegis, в основному, використовується BTC для збору викупу від шкідливого ПЗ LockBit, використовуючи різні платіжні адреси. Деякі адреси та суми платежів впорядковані наступним чином. BTC в одному вимаганні коливалися від 0,07 до 5,8, що становить від приблизно 2 551 до 211 311 доларів.

Фігура: Часткова адреса виплати LockBit та сума виплати

Проведено відстеження адрес у ланцюжку та аналіз протидії відмиванню грошей за допомогою двох адрес з найбільшими сумами, які були задіяні:

Адреса отримання викупу 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Адресат вимог за викуп: 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Адреса збору програм-вимагачів 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Згідно з вищевказаним аналізом, Адреса 1 (1Ptfhw) отримала загалом 17 on-chain транзакцій з 25 березня 2021 року по 15 травня 2021 року. Після отримання коштів активи були швидко передані на 13 основних проміжних адрес. Ці проміжні адреси передаються через фінансовий рівень до 6 проміжних адрес другого рівня, а саме: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4, та 13CPvF… Lpdp.

Проміжна адреса 3fVzPx… cuvH, через аналіз on-chain, було виявлено, що її остаточний потік на адресу темного веб-сайту 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P було виявлено.

Проміжна адреса 13cPVf… Lpdp переказала невелику суму 0.00022 BTC на CoinPayments. Було здійснено 500 подібних транзакцій, і всього 0,21 BTC було зібрано на адресу CoinPayments: bc1q3y… 7y88 для відмивання грошей за допомогою CoinPayments.

Інші посередницькі адреси потрапили на централізовані біржі Binance та Bitfinex.

Figure: Адреса 1 (1Ptfhw… hPEM) Джерела фінансування та деталі виведення

Фігура: Відстеження потоку коштів адреси 1 (1Ptfhw... hPem)

Малюнок: Детальна інформація про проміжні адреси та грошові потоки, пов'язані з адресою 1 (1Ptfhw... hPEM)

Малюнок: Адреса 1 (1Ptfhw... hPEM) карта транзакцій

(2) Адреса отримання вимагання 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

Жертва заплатила 4,16 BTC оператору викупу LockBit у 11 транзакціях між 24 травня 2021 року та 28 травня 2021 року. Негайно адреса 2 (1hpz7rn… vVPH) швидко переказала 1,89 BTC викупних коштів на проміжну адресу 1: bc1qan… 0ac4, 1,84 на проміжну адресу 2:112qjqj… Sdha, 0,34 Предмет йде на проміжну адресу 3:19Uxbt… 9rdF.

Кінцева проміжна адреса 2:112qJqj… Sdha та проміжна адреса 3:19Uxbt… 9rdF обидві переказали кошти на проміжну адресу 1: bc1qan… 0ac4. Імедіатно після цього проміжна адреса 1 bc1qan… 0ac4 продовжила переказувати кошти. Невелика частина коштів була переказана безпосередньо на біржу Binance, а інша частина коштів була переказана шар за шаром через проміжну адресу, і в кінцевому підсумку була переказана на біржу Binance та інші платформи для відмивання грошей. Специфічні деталі транзакцій та мітки адрес наведено нижче.

Фігура: Адреса 2 (1hpz7rn… vVPH) Джерела фінансування та деталі виведення

Фігура: Адреса 2 (1hpz7rn… vVPH) відстеження потоку коштів

Фігура: Деталі проміжних адрес і грошових потоків, пов'язаних з адресою 2 (1hpz7rn… vVPH)

LockBit відмиватиме гроші криптовалюти після отримання викупу. На відміну від традиційних методів відмивання грошей, ця модель відмивання грошей зазвичай відбувається на блокчейні. Він має характеристики довгого циклу, розпорошених коштів, високої автоматизації та високої складності. Для здійснення нагляду за криптовалютою та відстеження коштів, з одного боку, необхідно побудувати можливості ончейн та офчейн аналізу та криміналістики, а з іншого боку, необхідно здійснювати атаки безпеки та захист на рівні APT на рівні мережевої безпеки, з можливістю інтеграції атаки та захисту.

5. МОНЕТНА ПРАЛЬНЯ

Відмивання грошей (відмивання грошей) - це акт легалізації незаконних доходів. Це в основному стосується формальної легалізації незаконних доходів та доходів, отриманих шляхом приховування походження та характеру незаконних доходів різними способами. Такі дії включають, але не обмежуються наданням фінансових рахунків, допомогою у перетворенні форм власності та допомогою у передачі коштів чи переказі за кордон. Однак криптовалюти - особливо стейблкоїни - використовуються для відмивання грошей вже досить довгий час через їх низькі витрати на переказ, дегеолокацію та певні властивості, які стійкі до цензури, що є однією з основних причин критики криптовалют.

Традиційні операції з відмивання грошей часто використовують ринок криптовалют OTC для обміну фіатних грошей на криптовалюту або з криптовалюти на фіат. Серед них сценарії відмивання грошей різноманітні і форми різноманітні, але незалежно від характеру таких дій вони спрямовані на блокування розслідування капіталов'язків правоохоронцями, включаючи рахунки традиційних фінансових установ або криптовалютних установ.

У відміну від традиційних видів відмивання грошей, метою нового типу відмивання грошей з криптовалютою є сама криптовалюта, а також інфраструктура криптоіндустрії, включаючи гаманці, крос-ланцюжкові мости, децентралізовані торгові платформи тощо, будуть використовуватися незаконно.

Фігура: Сума відмивана грошей в останні роки

З 2016 по 2023 рік кількість відмиваної криптовалюти склала загалом $147,7 мільярда. Починаючи з 2020 року, обсяг відмитих коштів продовжував збільшуватися з темпом 67% щорічно, досягнувши $23,8 мільярда у 2022 році, і зростаючи до $80 мільярдів у 2023 році. Обсяг відмитих коштів дивує, і невідкладні заходи з протидії відмиванню грошей є надзвичайно важливими.

Згідно зі статистикою з платформи ChainAegis, обсяг коштів на платформі змішування монет на ланцюжку Tornado Cash зберігав швидкий ріст з січня 2020 року. Наразі в цьому фондовому пулі розміщено майже 3,62 мільйона ETH-депозитів, загальна сума депозитів становить 7,8 мільярда доларів США. Tornado Cash став найбільшим центром відмивання грошей на Ethereum. Однак, оскільки американське правоохоронне агентство видало документ, санкціонуючи Tornado Cash в серпні 2022 року, кількість щотижневих депозитів та виводів Tornado Cash стрімко зменшилася, але через децентралізований характер Tornado Cash було неможливо зупинити їх у джерелі, і кошти продовжили надходити в систему для змішування монет.

Аналіз моделі відмивання грошей групи Лазарус (північнокорейська організація APT)

Національні організації APT (Advanced Persistent Threat) - це провідні групи хакерів з національною підтримкою, які спрямовані на конкретні цілі на тривалий час. Північнокорейська APT-організація Лазарус-група - дуже активна група APT. Основною метою атаки є крадіжка коштів, яку можна назвати найбільшою загрозою глобальним фінансовим установам. Вони відповідальні за багато нападів і випадків крадіжки капіталу в секторі криптовалюти в останні роки.

Події з безпеки та втрати в результаті атак Лазаруса на криптографічному полі, які були чітко пораховані до цього часу, наведені нижче:

Понад 3 мільярди доларів США коштів були вкрадені Lazarus під час кібератаки. Згідно з повідомленнями, хакерське угруповання Lazarus підтримується стратегічними інтересами Північної Кореї для фінансування ядерних і балістичних ракетних програм Північної Кореї. З цією метою США оголосили про винагороду в розмірі 5 мільйонів доларів для накладення санкцій на хакерське угруповання Lazarus. Міністерство фінансів США також додало відповідні адреси до списку громадян особливого призначення OFAC (SDN), заборонивши фізичним, юридичним особам та пов'язаним з ними адресам США торгувати, щоб гарантувати, що групи, що фінансуються державою, не зможуть викупити ці кошти, тим самим запровадивши санкції. Розробника Ethereum Вірджила Гріффіта засудили до 5 років і 3 місяців в'язниці за те, що він допомагав Північній Кореї ухилятися від санкцій за допомогою віртуальної валюти. У 2023 році OFAC також наклав санкції на трьох осіб, пов'язаних із Lazarus Group. Двоє з тих, хто потрапив під санкції, Чен Хунг Ман і Ву Хуейхуей, були позабіржовими трейдерами, які сприяли криптовалютним транзакціям для Lazarus, тоді як третя сторона, Сім Хьон Соп, надавала іншу фінансову підтримку.

Незважаючи на це, Лазарус завершив понад $1 мільярд передачі активів та очищення, і їх модель відмивання грошей аналізується нижче. Візьмемо інцидент з Atomic Wallet як приклад. Після видалення технічних перешкод, встановлених хакером (велика кількість фальшивих токенів + розгалуження адрес), можна отримати модель передачі коштів хакера:

Фігура: Перегляд переказу коштів жертві 1 Atomic Wallet

Жертва 1 переказує 304,36 ETH з адреси 0xb02d... c6072 на адресу хакера 0x3916... 6340, і після 8 виплат через проміжну адресу 0x0159... 7b70, вони повертаються на адресу 0x69ca... 5324. Зібрані кошти з тих пір були переказані на адресу 0x514c... 58f67. Наразі кошти все ще знаходяться на цій адресі, а баланс ETH адреси становить 692,74 ETH (вартість $1,27 мільйона).

Фігура: Перегляд переказу коштів жертві Atomic Wallet 2

Жертва 2 переказала 1,266,000 USDT з адреси 0x0b45... d662 на адресу хакера 0xf0f7... 79b3. Хакер розбив її на три транзакції, дві з яких були переказані на Uniswap, загалом 1,266,000 USDT; інший переказ був переказаний на адресу 0x49ce… 80fb, з переказаною сумою 672.71 ETH. Жертва 2 переказала 22,000 USDT на адресу хакера 0x0d5a… 08c2. Хакер безпосередньо або опосередковано зібрав кошти на адресу 0x3c2e… 94a8 через кілька внесків через проміжні адреси 0xec13... 02d6, тощо.

Ця модель відмивання грошей дуже схожа з моделлю відмивання грошей у попередніх атаках Ronin Network та Harmony, і всі вони включають три кроки:

(1) Консолідація та обмін викраденими коштами: Після того, як атака була запущена, оригінальні викрадені токени відсортовуються, а різні токени обмінюються на ETH через DEX та інші методи. Це загальний спосіб обійти заморожування коштів.

(2) Збір викрадених коштів: Збір сортованої ETH на кілька одноразових адрес гаманців. У випадку Роніна хакери використали 9 таких адрес, Гармонія використала 14, а випадок з Atomic Wallet використав практично 30 адрес.

(3) Переклад коштів, викрадених у злочинців: використовуйте адресу збору, щоб прати гроші через Tornado.Cash. Це завершує весь процес переказу коштів.

Крім того, на кроків відмивання грошей, також існує висока ступінь узгодженості у деталях відмивання грошей:

(1) Атакувальники дуже терплячі. Вони всі витрачали до тижня на здійснення операцій з відмивання грошей, і всі починали наступні операції з відмивання грошей через кілька днів після того, як сталася подія.

(2) Автоматизовані транзакції використовуються в процесі відмивання коштів. Більшість дій зі збору коштів мають велику кількість транзакцій, невеликі проміжки часу та єдинообразну модель.

Через аналіз ми вважаємо, що модель відмивання грошей Лазаруса, як правило, наступна:

(1) Розділіть рахунки та перекажіть активи невеликими сумами та кількома транзакціями, щоб ускладнити відстеження.

(2) Почніть виробляти велику кількість фальшивих валютних транзакцій, щоб ускладнити відстеження. Взявши приклад інциденту з Atomic Wallet, 23 з 27 проміжних адрес були адресами фальшивих грошових переказів. Подібну технологію недавно виявлено в аналізі інциденту на Stake.com, але попередні інциденти з мережею Ronin та Harmony не мали цієї технології втручання, що свідчить про те, що технологія відмивання грошей Лазаруса також була оновлена.

(3) Більше методів on-chain (таких як Tonado Cash) використовуються для змішування монет. У ранніх випадках Лазарус часто використовував централізовані біржі для отримання стартового капіталу або здійснення подальшої угоди OTC, але недавно централізовані біржі використовуються все менше і менше, і можна навіть подумати, що вони намагаються уникати використання централізованих бірж якомога більше. Це пов'язано з декількома недавніми випадками санкцій.

VI. Санкції та регулювання

Такі агентства, як Управління з контролю за іноземними активами Міністерства фінансів США (OFAC) та аналогічні агентства в інших країнах, приймають санкції проти країн, режимів, фізичних та юридичних осіб, які вважаються загрозою національній безпеці та зовнішній політиці. Традиційно забезпечення дотримання санкцій покладалося на співпрацю основних фінансових установ, але деякі зловмисники звернулися до криптовалют, щоб обійти цих сторонніх посередників, створюючи нові виклики для політиків і санкційних агентств. Однак притаманна криптовалютам прозорість і бажання дотримуватися криптовалютних послуг, особливо багатьох централізованих бірж, які діють як сполучна ланка між криптовалютами та фіатними валютами, довели, що введення санкцій можливе у світі криптовалют.

Ось огляд окремих осіб чи суб'єктів, пов'язаних з криптовалютами, які були санкціоновані в США в 2023 році, та причини санкцій Офісу з контролю за активами іноземців (OFAC).

Компанія Tether, яка стоїть за найбільшою стейблкоїном у світі, оголосила 9 грудня 2023 року, що вона "заморозить" токени на гаманцях санкціонованих осіб у списку санкційних осіб Управління зовнішньої торгівлі активами (OFAC) США. У своєму оголошенні Tether розглянула цей крок як добровільний крок для "проактивного запобігання можливому зловживанню токенами Tether та підвищення заходів безпеки".

Це також показує, що розслідування та покарання злочинів у сфері криптовалюти перейшли на суттєвий етап. Співпраця між основними підприємствами та правоохоронними органами може сформувати ефективні санкції для моніторингу та покарання злочинів у сфері криптовалюти.

З точки зору регулювання Web3 у 2023 році, Гонконг також досяг величезного прогресу та сурмить у «відповідний розвиток» ринків Web3 та криптовалют. Коли у 2022 році Грошово-кредитне управління Сінгапуру почало обмежувати роздрібних клієнтів у використанні кредитного плеча або кредиту для криптовалютних транзакцій, уряд Гонконгу опублікував «Політичну декларацію щодо розвитку віртуальних активів у Гонконзі», і деякі таланти та компанії Web3 вирушили на нову землю обітовану.

1 червня 2023 року Гонконг виконав декларацію та видалив "Керівні принципи для операторів торгівлі віртуальними активами". Система ліцензування платформ для торгівлі віртуальними активами була офіційно впроваджена, і вже були видані ліцензії класу 1 (торгівля цінними паперами) та класу 7 (надання послуг автоматизованої торгівлі).

Наразі організації, такі як OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus та DFX Labs активно подають заявки на отримання ліцензій на торгівлю віртуальними активами (VASP).

Виконавчий директор Лі Цзячао, фінансовий секретар Чень Маобо та інші часто виступали від імені уряду Гонконгу, щоб підтримати запуск Web3 у Гонконзі та залучити криптокомпанії та таланти з усього світу для створення. Що стосується підтримки політики, Гонконг запровадив систему ліцензування для постачальників послуг віртуальних активів, яка дозволяє роздрібним інвесторам торгувати криптовалютами, запустив фонд екосистеми Web3 Hub на суму 10 мільйонів доларів США та планує інвестувати понад 700 мільйонів гонконгських доларів для прискорення розвитку цифрової економіки та сприяння розвитку індустрії віртуальних активів. Він також створив робочу групу з розробки Web 3.0.

Однак, коли робилися великі кроки, ризиковані події також скористалися моментумом. Неліцензійна криптовалютна біржа JPEX залучила понад 1 мільярд гонконгських доларів, справа про шахрайство HOUNAX стосувалася понад 100 мільйонів юанів, підозрюються у шахрайстві віртуальними активами HongKongDAO та BitCuped... Ці злочинні події привернули велику увагу Гонконгської комісії з цінних паперів та поліції. Гонконзька комісія з цінних паперів заявила, що буде розробляти керівні принципи оцінки ризиків у випадках віртуальних активів разом з поліцією та обмінюватися інформацією щотижня.

Я вірю, що незабаром більш повна регуляторна та безпекова система допоможе Гонконгу, як важливому фінансовому хабу між Сходом та Заходом, відкрити свої обійми перед Web3.

Увага:

1. Ця стаття розміщується з [ aicoin]. Усі авторські права належать оригінальному автору [SharkTeam]. Якщо є зауваження до цього перепублікування, будь ласка, звертайтеся до Gate Learn команди, і вони оперативно впораються з цим.
2. Відповідальність за відмову: Погляди та думки, висловлені в цій статті, є виключно власністю автора та не становлять жодних інвестиційних порад.
3. Переклади статті на інші мови виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, поширення або плагіат перекладених статей заборонені.