ETH:Cryptopia 倒闭背后，黑客究竟如何洗白盗来的币？

5月15日新西兰加密货币交易所Cryptopia宣布停运并清算，并表示已指派正大会计师事务所对资产进行清算，将持续数月。今年1月该交易所遭遇连续两次的黑客攻击，损失超过1600万美元。本文将深度还原黑客如何洗掉从Cryptopia那里盗来的黑币的。

原文标题：《图文剖析Cryptopia交易所黑客行踪》作者：PeckShield团队

2019年1月，黑客攻击了新西兰的虚拟货币交易所Cryptopia，盗取了以ETH为主的数字资产之后销声匿迹。近日，随着币价的攀升，该黑客在沉寂了数月后，开始密集的行动。据PeckShield数字资产护航系统数据显示，近两天来，该黑客已经将4,787个ETH转入了火币交易所，而且仍有26,003个ETH等待被洗时机。

PeckShield安全人员梳理黑客路径发现

a16z Crypto上线“加密创业学校CSS23”教育视频:金色财经报道，a16z Crypto在其官推宣布已正式上线 “加密创业学校CSS23”教育视频，其中覆盖了量子区块链、Web3拍卖、零知识证明基础、以及创始人分享等主题。a16z Crypto从2020年2月开始CSS加速器计划，会为Web3新创公司量身定做，提供来自a16z基金的资金、加密产业创办人指导与各领域专家的讲座，同时加入a16z的资源网路，利于扩展公司规模，包括Phantom、Flashbots等知名团队都出自CSS，并募集了超过3亿美金的风险投资。[2023/6/4 11:56:24]

1、黑客在攻击成功后，一般会将资产分散到多个地址或直接转移到新地址后沉寂一段时间以避开风头；2、在过程中，黑客会先转移出少部分资产进行尝试，寻找最佳方式；3、在少部分资产尝试清洗成功后，才会处理剩余资产，否则会继续沉寂等待时机。

知情人士：Crypto.com NFT部门重组，负责人Joe Conyers IIII离职:6月18日消息，据两位知情人士透露，刚刚经历一轮大规模裁员的加密货币交易所Crypto.com，已与其新兴NFT业务负责人分道扬镳。

据悉，Joe Conyers IIII于2021年3月加入Crypto.com，帮助其建立NFT平台。消息人士称，Conyers（工作地点为纽约）上周在该部门重组过程中离开这家总部位于新加坡的公司。一位消息人士表示，选择重组而非裁员，是为了提高效率。

Crypto.com发言人拒绝就Conyers和重组背后的理由置评，但表示NFT部门是公司“最优先考虑的部门之一”。

据此前报道，由于市场持续低迷，Crypto.com将裁员5%。（Blockworks）[2022/6/18 4:36:21]

从本次路径看，黑客是有通过去中心化交易所EtherDelta，以BAT、ELF等代币配对交易，进行伪装买卖，逃离追踪的想法。不过，纯链上交易信息清晰可查，黑客虽魔高一尺，但白帽安全人员布下了天罗地网，能层层剖析，抽丝剥茧清晰还原黑客的全过程。

Crypto.com承诺四年支持对比特币安全和网络协议的研究:金色财经报道，加密货币交易所Crypto.com已宣布对麻省理工学院（MIT）媒体实验室的数字货币倡议（DCI）作出新的四年承诺。据Crypto.com的新闻稿称，这份 \"礼物 \"旨在支持DCI对比特币安全性的研究。此外，它将为作为网络基础的开源开发协议提供支持。Crypto.com希望支持正在进行的研究计划，以确定收费奖励的稳定性以及支持稳健性和正确性保证所需的软件类型。

Crypto.com的首席运营官Eric Anziani称：麻省理工学院的数字货币倡议在建立一个可持续的区块链生态系统中发挥了关键作用，特别是通过强化比特币的底层协议。我们很高兴能与这样一个受人尊敬的机构一起进一步支持全球的区块链研究，并帮助加速世界安全过渡到使用加密货币。[2022/4/24 14:44:37]

一图概览黑客全过程：

Mark Cuban：别把Crypto当成货币:9月3日消息，NBA球队达拉斯独行侠老板Mark Cuban在推特上回复NBA分析师Bill Ingram关于“我们似乎不需要另一种货币”的评论时说：“别把Crypto当成货币。应该当成去中心化的、安全的、网络化的平台，且具有丰富功能，可用于开发对个人和企业有独特用途的应用程序。”[2021/9/3 22:56:50]

图1:黑客盗取的ETH完整流向图

从图1中能看到，黑客先将部分数字资产转移到一个地址，再伪装成买家和卖家，在去中心化交易所EtherDelta中买卖交易，试图逃避追踪，之后将资产再次汇聚到一起进入火币交易所。进一步的细节如下：

第一步：资产转移

在交易所等巨额资产出现安全问题后往往引来无数媒体关注，所有人都会紧盯资产流向，而此时黑客通常会沉寂数月乃至一年。在认为避开风头之后，抓住一个最佳时机，开始销赃。

动态 | 美国职业棒球联盟加入Crypto Collectibles服务 将推出运动员加密收藏品:据CCN消息，美国职业棒球联盟（MLB）与Crypto Collectibles合作，将推出运动员加密收藏品。Crypto Collectibles是一个加密收集服务，有73名全明星和来自30个大联盟棒球队的球员，将为用户提供运动员加密收藏品。[2018/8/9]

此次黑客估计是被市场回暖唤醒，先将5,000个ETH以每笔1,000个的方式转入一个新地址，并以此为起点，开始一轮操作。如果仔细地看这五笔交易，会发现它们共间隔16小时，而且是在每转出一笔后，进入后续的伪装成买家卖家操作。可见黑客格外的小心翼翼，先探探头，试试水再说。

图2:黑客将部分资产转移到一个新地址

第二步：伪装买卖

黑客为了逃避资产追踪，一般会将大额资产，以小额多笔的形式分散到大量的地址中，再在各个地址上进行频繁的分散汇聚。而此次黑客采用了一种新方式，通过伪装成去中心化交易所的买家和卖家，试图以正常的挂单配对交易来逃避追踪。

图3:黑客伪装成买家

图4:黑客控制的地址买卖

黑客将每次收到的1,000ETH，再散成以约500个ETH一笔进入去中心化交易所，开始买卖。从图3和图4中发现，黑客以普通用户的方式，不是仅用一两笔，而是通过大量多笔的交易，完成从买家到卖家的资产转移。

伪装买家卖家，买卖BAT、ELF代币

下图中可以看到黑客控制多个帐号伪装成买家和卖家将资产倒手，图中是黑客成交的多笔ELF和BAT代币的订单。

图5:黑客伪装成买家交易ELF、BAT代币

具体来看买家在去中心化交易所EtherDelta合约上的一条交易记录

图6:买家在EtherDelta上的交易记录

在上图中可以看到，买家与卖家的配对交易，仅接着卖家做了提现操作，对应的着链上的交易记录

截图如下：

图7:卖家在EtherDelta上的提现记录

第三步：再次汇聚，进入交易所

通过去中心化交易所的倒手交易后，黑客已认为能够避免资产被追踪，又将获得的ETH汇总到一个地址，并分批次进入火币交易所。

图8:黑客资产汇总进入火币交易所

至此，黑客最初的5,000枚ETH，分批汇聚再进入去中心化交易所，经过倒手买卖，再次汇聚进入火币，看似天衣无缝的操作，实则在链上留下了诸多痕迹。

截至发文时，黑客共计将4,787个ETH转入了火币交易所，PeckShield正协助火币交易所对涉及赃款实施封堵。目前尚有26,003个ETH控制在黑客手中，存在进一步的可能。PeckShield正持续追踪黑客下一步的行踪。

今年1月份Cryptopia交易所遭黑客攻击损失共计30,790个ETH。时隔3个月，当时的ETH行情价格也已经翻番了，黑客觉得时机差不多成熟了，开始活跃出来了。整体来看，黑客此次行动还是很小心谨慎的，通过分散转移账号、伪装买卖等多种手段来逃离追踪，但区块链世界，一切链上行为都有迹可循，安全公司更道高一丈。

黑客地址一览

黑客初始地址0xd4E79226F1E5A7a28Abb58F4704E53cd364e8D11

伪装买家地址0x338fDf0D792F7708d97383EB476e9418B3C16ff1

伪装卖家1地址0x1e16253b81F418ee44430d94502Bc766fe8CaDba

伪装卖家2地址0x7bdf9a0fba5c7ce328fe0768eaf2a2dfb0afb35f

资产汇总地址0x3d40897675A7467A73610c3ABbBc8292835e67F2

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

PeckShield

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627832.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

BCH硬分叉后重组并非51%攻击，而是从小偷那里夺回应有的币

下一篇：

监控地址，阻断黑币，保护声誉：慢雾AML为交易所开启「鹰眼」

标签：ETH去中心化交易所中心化交易所ELDETH/USDTdex去中心化交易所价格计算器ok链的去中心化交易所连接Yieldification

以太坊最新价格热门资讯