SharkTeam: Báo cáo phân tích tội phạm tiền điện tử năm 2023

Nguồn: SharkTeam

Vào năm 2023, ngành Web3 đã trải qua hơn 940 sự cố bảo mật lớn nhỏ , một tăng hơn 50% so với cùng kỳ năm 2022, với khoản lỗ lên tới 1,79 tỷ USD. Trong số đó, quý 3 xảy ra nhiều sự cố an ninh nhất (360) và thiệt hại lớn nhất (740 triệu USD), thiệt hại tăng 47% so với cùng kỳ năm 2022. Đặc biệt trong tháng 7, có tổng cộng 187 sự cố an ninh xảy ra, thiệt hại lên tới 350 triệu USD.

Hình: Số lượng sự cố bảo mật mỗi quý/tháng trong Web 3 2023

Hình: Web 3 2023 tổn thất do sự cố bảo mật hàng quý/hàng tháng (triệu đô la)

Trước hết, các cuộc tấn công của hacker vẫn là nguyên nhân chính gây thiệt hại nặng nề. Năm 2023 sẽ có 216 vụ tấn công của hacker, gây thiệt hại 1,06 tỷ USD. Lỗ hổng hợp đồng, đánh cắp khóa riêng, tấn công lừa đảo và tin tặc trạng thái vẫn là những nguyên nhân quan trọng đe dọa tính bảo mật của hệ sinh thái Web3.

Thứ hai, gian lận Rugpull và quỹ đĩa đang gia tăng. Tổng cộng có 250 vụ lừa đảo Rugpull và Scam xảy ra vào năm 2023, trong đó những sự cố như vậy xảy ra thường xuyên nhất trên BNBChain. Các dự án lừa đảo thu hút các nhà đầu tư tham gia bằng cách xuất bản các dự án tiền điện tử có vẻ hấp dẫn và cung cấp một số thanh khoản giả. Khi thu hút đủ tiền, chúng sẽ bất ngờ đánh cắp toàn bộ tiền và chuyển tài sản. Hình thức gian lận này sẽ gây thiệt hại kinh tế nghiêm trọng cho nhà đầu tư và làm tăng thêm khó khăn cho nhà đầu tư trong việc lựa chọn dự án phù hợp.

Ngoài ra, xu hướng ransomware sử dụng tiền điện tử để thu tiền chuộc như Lockbit, Conti, Suncrypt và Monti đã trở thành xu hướng. Tiền điện tử khó theo dõi hơn tiền tệ truyền thống và việc sử dụng các công cụ phân tích trên chuỗi để theo dõi và xác định danh tính của các nhóm ransomware ngày càng trở nên quan trọng.

Cuối cùng, trong các hoạt động tội phạm này như hack, lừa đảo và tống tiền tiền điện tử, bọn tội phạm thường cần thực hiện chuyển tiền trực tuyến và OTC sau khi có được tiền điện tử. . Hoạt động rửa tiền thường áp dụng sự kết hợp giữa các phương pháp phi tập trung và tập trung. Các sàn giao dịch tập trung là nơi tập trung rửa tiền nhiều nhất, tiếp theo là các nền tảng trộn tiền tệ trên chuỗi.

2023 cũng là năm mà việc giám sát Web3 đạt được sự phát triển đáng kể. FTX2.0 sẽ được khởi động lại, Binance sẽ bị xử phạt và USDT sẽ cấm Hamas và các địa chỉ khác Vào tháng 1 năm 2024, SEC đã thông qua quỹ ETF Bitcoin giao ngay. Những sự kiện mang tính bước ngoặt này thể hiện rằng cơ quan giám sát có liên quan sâu sắc đến sự phát triển của Web3.

Báo cáo này sẽ tiến hành phân tích có hệ thống về các chủ đề chính như tấn công hack Web3, lừa đảo Rugpull, ransomware, rửa tiền tiền điện tử và quy định về Web3 vào năm 2023 để hiểu rõ tình hình an ninh cho sự phát triển của ngành công nghiệp tiền điện tử.

1. Lỗ hổng hợp đồng

Các cuộc tấn công lỗ hổng hợp đồng chủ yếu xảy ra trên Ethereum vào năm 2023. nửa năm, tổng cộng 36 cuộc tấn công vào lỗ hổng hợp đồng đã xảy ra trên Ethereum, với thiệt hại vượt quá 200 triệu USD, tiếp theo là BNBChain. Xét về phương thức tấn công, lỗ hổng logic nghiệp vụ và tấn công flash loan vẫn là phổ biến nhất.

Hình: Số vụ tấn công của hacker và số tiền thiệt hại (triệu đô la) trong mỗi quý của Web 3 2023< /p>

Hình: Số lượng lỗ hổng hợp đồng hàng tháng khai thác các cuộc tấn công hack và số lượng tổn thất trong Web 3 2023H2

Hình: Số vụ tấn công khai thác lỗ hổng theo hợp đồng và số lượng tổn thất mỗi tháng trên các chuỗi khác nhau trong Web 3 2023H2

< p style ="text-align:center;">

Hình ảnh: Số lượng phương thức tấn công cụ thể và mức độ tổn thất khi sử dụng lỗ hổng hợp đồng Web 3 2023H2

Phân tích sự cố điển hình: Lỗ hổng Vyper dẫn đến các cuộc tấn công vào Curve, JPEG'd và các dự án khác

Take JPEG'd bị tấn công làm ví dụ:

Địa chỉ của kẻ tấn công: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Hợp đồng của kẻ tấn công: 0x9420F8821aB4609Ad9FA514f8D2F5344C3c0A6Ab

Giao dịch tấn công:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Tấn công Tác giả (0x6ec21d18) đã tạo hợp đồng 0x466B85B4 và vay 80.000 WETH từ [Balancer: Vault] thông qua khoản vay nhanh.

(2) Kẻ tấn công (0x6ec21d18) đã thêm 40.000 WETH vào nhóm thanh khoản pETH-ETH-f (0x9848482d) và thu được 32.431 pETH.

(3) Kẻ tấn công (0x6ec21d18) sau đó liên tục xóa thanh khoản khỏi nhóm thanh khoản pETH-ETH-f (0x9848482d).

(4) Cuối cùng, kẻ tấn công (0x6ec21d18) đã thu được 86.106 WETH. Sau khi trả lại khoản vay nhanh, anh ta rời khỏi thị trường với khoản lãi 6.106 WETH.

Phân tích lỗ hổng: Cuộc tấn công này là một cuộc tấn công reentrancy điển hình. Sau khi dịch ngược mã byte của hợp đồng dự án đang bị tấn công, chúng ta có thể thấy từ hình bên dưới: khi hai hàm add_liquidity và Remove_liquidity xác minh giá trị vị trí lưu trữ, các vị trí lưu trữ được xác minh là khác nhau. Sử dụng khe lưu trữ khác, khóa đăng nhập lại có thể không hợp lệ. Tại thời điểm này, người ta nghi ngờ rằng có lỗ hổng trong thiết kế cơ bản của Vyper.

Kết hợp với tweet chính thức của Curve. Cuối cùng, nó được xác định là lỗ hổng phiên bản Vyper. Lỗ hổng này tồn tại trong các phiên bản 0.2.15, 0.2.16 và 0.3.0 và có sai sót trong thiết kế khóa reentrancy. Chúng tôi đã so sánh phiên bản 0.2.14 trước 0.2.15 và phiên bản 0.3.1 sau 0.3.0 và nhận thấy rằng phần mã này liên tục được cập nhật. Phiên bản 0.2.14 cũ và mới hơn 0.3.1 không gặp phải vấn đề này .

Trong tệp cài đặt liên quan đến khóa reentrancy data_positions.py tương ứng với Vyper, giá trị của storage_slot sẽ bị ghi đè. Trong ret, vị trí của khóa thu được lần đầu tiên là 0, sau đó khi hàm được gọi lại, vị trí của khóa sẽ tăng thêm 1. Lúc này, khóa đăng nhập lại sẽ không còn hợp lệ.

2. Tấn công lừa đảo

Tấn công lừa đảo là một phương thức tấn công mạng nhằm mục đích đánh lừa và xúi giục mục tiêu lấy được thông tin của họ. thông tin nhạy cảm hoặc xúi giục họ thực hiện các hoạt động độc hại. Kiểu tấn công này thường được thực hiện thông qua email, mạng xã hội, SMS hoặc các kênh liên lạc khác, kẻ tấn công sẽ giả vờ là một thực thể đáng tin cậy, chẳng hạn như bên dự án, cơ quan có thẩm quyền, KOL, v.v. để dụ nạn nhân cung cấp khóa riêng, từ ghi nhớ hoặc Ủy quyền giao dịch. Tương tự như các cuộc tấn công vào lỗ hổng hợp đồng, các cuộc tấn công lừa đảo có tỷ lệ xảy ra cao và tổn thất cao trong Quý 3. Tổng cộng có 107 cuộc tấn công lừa đảo đã xảy ra, trong đó 58 vụ xảy ra vào tháng 7.

Hình: Số vụ tấn công lừa đảo và số tiền thiệt hại (hàng triệu đô la Mỹ) trong mỗi quý của Web 3 2023< /p>

< p style ="text-align: center;">Hình: Số vụ tấn công lừa đảo mỗi tháng trên Web 3 vào năm 2023

Phân tích hoạt động chuyển tài sản trên chuỗi tấn công lừa đảo điển hình

Vào ngày 7 tháng 9 năm 2023, địa chỉ (0x13e382) bị lừa đảo cuộc tấn công và tổn thất vượt quá 2.400 Mười nghìn đô la Mỹ. Tin tặc lừa đảo đã sử dụng hành vi trộm tiền, trao đổi quỹ và chuyển tiền phi tập trung. Trong số tiền bị mất cuối cùng, 3.800 ETH đã được chuyển đến Tornado. Tiền mặt theo đợt, 10.000 ETH đã được chuyển đến địa chỉ trung gian (0x702350) và 1078.087 DAI cho đến nay Được bảo lưu tại địa chỉ trung gian (0x4F2F02).

Đây là một cuộc tấn công lừa đảo điển hình. Kẻ tấn công đánh cắp tài sản của người dùng bằng cách lừa đảo ủy quyền ví hoặc khóa riêng, tạo thành một chuỗi ngành công nghiệp đen gồm lừa đảo + rửa tiền. Hiện tại , ngày càng nhiều băng nhóm lừa đảo và thậm chí cả hacker quốc gia đang sử dụng các phương thức lừa đảo để làm điều ác trong lĩnh vực Web3, đòi hỏi sự chú ý và cảnh giác của mọi người.

Theo phân tích theo dõi của nền tảng phân tích dữ liệu lớn trên chuỗi ChainAegis của SharkTeam (https://app.chainaegis.com/), chúng tôi sẽ phân tích các trường hợp điển hình Lừa đảo tấn công lừa đảo Tiến hành phân tích liên quan về quy trình, tình hình chuyển tiền và hành vi trên chuỗi của những kẻ lừa đảo.

(1) Quá trình tấn công lừa đảo

Địa chỉ nạn nhân (0x13e382) vượt qua 'Tăng mức trợ cấp 'Ủy quyền rETH và stETH cho địa chỉ lừa đảo 1 (0x4c10a4).

Địa chỉ kẻ lừa đảo 1 (0x4c10a4) đã chuyển 9.579 stETH trong tài khoản của địa chỉ nạn nhân (0x13e382) sang địa chỉ kẻ lừa đảo 2 (0x693b72), số tiền lên tới khoảng 15,32 triệu USD.

Địa chỉ kẻ lừa đảo 1 (0x4c10a4) đã chuyển 4.850 rETH trong tài khoản của địa chỉ nạn nhân (0x13e382) sang địa chỉ kẻ lừa đảo 2 (0x693b72), với số tiền khoảng 8,41 triệu đô la.

（ 2) Trao đổi và chuyển giao tài sản

Đổi stETH và rETH bị đánh cắp thành ETH. Kể từ sáng sớm ngày 09/07/2023, địa chỉ lừa đảo 2 (0x693b72) đã thực hiện nhiều giao dịch trao đổi trên nền tảng UniswapV2, UniswapV3 và Curve, chuyển đổi tất cả 9.579 stETH và 4.850 rETH thành ETH, với tổng số tiền trao đổi là 14.783,9413 ETH.

trao đổi stETH:

trao đổi rETH:

Một phần ETH được chuyển đổi thành DAI. Địa chỉ lừa đảo 2 (0x693b72) đã đổi 1.000ETH thành 1.635.047,761675421713685327 DAI thông qua nền tảng UniswapV3. Những kẻ lừa đảo đã sử dụng các phương thức chuyển tiền phi tập trung để chuyển số tiền bị đánh cắp đến nhiều địa chỉ ví trung gian, tổng cộng là 1.635.139 DAI và 13.785 ETH. Trong số này, 1.785 ETH được chuyển đến địa chỉ trung gian (0x4F2F02), 2.000 ETH được chuyển đến địa chỉ trung gian (0x2ABdC2) và 10.000 ETH được chuyển đến địa chỉ trung gian (0x702350). Ngoài ra, địa chỉ trung gian (0x4F2F02) đã nhận được 1.635.139 DAI vào ngày hôm sau

Địa chỉ ví trung gian (0x4F2F02) chuyển tiền:

Địa chỉ này đã được chuyển qua một lớp tiền và có 1.785 ETH và 1.635.139 DAI. Chuyển tiền phi tập trung DAI và đổi số tiền nhỏ thành ETH

Trước hết, kẻ lừa đảo bắt đầu chuyển 529.000 DAI qua 10 giao dịch vào sáng sớm năm 2023 -09-07 . Sau đó, bảy giao dịch đầu tiên với tổng trị giá 452.000 DAI đã được chuyển từ địa chỉ trung gian sang 0x4E5B2e (FixedFloat), giao dịch thứ tám được chuyển từ địa chỉ trung gian sang 0x6cC5F6 (OKX) và hai giao dịch cuối cùng với tổng trị giá 77.000 DAI đã được chuyển từ địa chỉ trung gian đến 0xf1dA17 (eXch).

Thứ hai, vào ngày 10 tháng 9, 28.052 DAI đã được đổi lấy 17,3 ETH thông qua UniswapV2.

Từ ngày 8 tháng 9 đến ngày 11 tháng 9, 18 giao dịch đã được thực hiện và tất cả 1.800 ETH đã được chuyển sang Tornado.Cash.

Sau khi chuyển, địa chỉ vẫn còn 1078.087 DAI số tiền bị đánh cắp chưa được chuyển ra ngoài.

Chuyển tiền địa chỉ trung gian (0x2ABdC2):

Địa chỉ này đã được chuyển qua một lớp số tiền sở hữu 2.000ETH. Đầu tiên, địa chỉ này đã chuyển 2000ETH sang địa chỉ trung gian (0x71C848) vào ngày 11 tháng 9.

Sau đó, địa chỉ trung gian (0x71C848) đã chuyển tiền hai lần vào ngày 11 tháng 9 và ngày 1 tháng 10, với tổng cộng 20 giao dịch, mỗi giao dịch chuyển 100 ETH, tổng cộng là 2000ETH đã được chuyển sang Tornado.Cash.

Chuyển tiền qua địa chỉ trung gian (0x702350)

Địa chỉ này đã được chuyển qua một lớp tiền và có 10.000 ETH. Tính đến ngày 8 tháng 10 năm 2023, 10.000 ETH vẫn còn trong tài khoản tại địa chỉ này và chưa được chuyển đi.

Theo dõi manh mối địa chỉ: Sau khi phân tích lịch sử giao dịch của địa chỉ kẻ lừa đảo 1 (0x4c10a4) và địa chỉ kẻ lừa đảo 2 (0x693b72), người ta thấy rằng có một địa chỉ EOA (0x846317) đã chuyển 1.353 ETH đến địa chỉ lừa đảo 2 (0x693b72) và nguồn tiền cho địa chỉ EOA này liên quan đến các địa chỉ ví nóng với các sàn giao dịch tập trung KuCoin và Binance.

3. Rugpull và gian lận

Tần suất xảy ra các sự cố gian lận Rugpull sẽ nghiêm trọng hơn trong 2023 Xu hướng tăng lên đạt 73 giao dịch trong Quý 4, với số tiền lỗ là 19 triệu USD và số tiền lỗ trung bình trên mỗi giao dịch là khoảng 26.000 USD. Quý có tỷ lệ tổn thất do gian lận Rugpull cao nhất trong cả năm là Quý 2, tiếp theo là Quý 3, với tỷ lệ tổn thất vượt quá 30%.

Trong nửa cuối năm 2023, có tổng cộng 139 sự cố Rugpull và 12 sự cố gian lận đã xảy ra, gây thiệt hại lần lượt là 71,55 triệu USD và 340 triệu USD.

Nửa cuối năm 2023, sự cố Rugpull chủ yếu xảy ra trên BNBChain, đạt 91 lần, chiếm hơn 65% và thiệt hại lên tới 29,57 triệu USD , chiếm 41%. . Ethereum (44 lần) theo sau với mức lỗ 7,39 triệu USD. Ngoài Ethereum và BNBChain, sự cố BALD Rugpull đã xảy ra trên chuỗi Base vào tháng 8, gây thiệt hại nghiêm trọng 25,6 triệu USD.

Hình: Số vụ Rugpull và Scam mỗi quý và số tiền thiệt hại (hàng triệu đô la) trong Web 3 2023

< p style="text-align: center;">Hình: Số lượng sự cố Rugpull và Scam cũng như số tiền thua mỗi tháng trong Web 3 2023H2

< p style="text-align:center;">

Hình: Web 3 2023H2 số sự kiện Rugpull hàng tháng và số tiền thua trên các chuỗi khác nhau

Phân tích hành vi của nhà máy sản xuất gian lận Rugpull

Mô hình nhà máy sản xuất gian lận Rugpull rất phổ biến trên BNBChain, được sử dụng để sản xuất token Rugpull theo lô và thực hiện Lừa đảo. Chúng ta hãy xem các mô hình lừa đảo của nhà máy Rugpull bằng các token SEI, X, TIP và Blue giả.

(1) SEI

Đầu tiên, chủ sở hữu mã thông báo SEI giả mạo 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 đã bán 1U của The giá đã được đổi lấy 249 SEI giả.

Sau đó, 0x6f9963448071b88FB23Fd9971d24A87e5244451A thực hiện các hoạt động mua và bán số lượng lớn. Trong hoạt động mua và bán, tính thanh khoản của mã thông báo tăng lên đáng kể và giá cũng tăng.

Quảng bá thông qua lừa đảo và các phương thức khác để thu hút một lượng lớn người dùng mua. Khi tính thanh khoản tăng lên, giá của mã thông báo sẽ tăng gấp đôi.

Khi giá của mã thông báo đạt đến một giá trị nhất định, chủ sở hữu mã thông báo sẽ tham gia thị trường để bán và thực hiện trò kéo bóng. Như có thể thấy trong hình bên dưới, khoảng thời gian và giá cả nhập và thu hoạch là khác nhau.

(2) 1U giả đã được đổi lấy mã thông báo tương ứng. Sau đó, giống như token Sei giả.

0x6f9963448071b88FB23Fd9971d24A87e5244451A Hoạt động mua bán hàng loạt. Trong hoạt động mua và bán, tính thanh khoản tăng lên đáng kể và giá cả tăng lên.

Sau đó, nó được quảng bá thông qua lừa đảo và các kênh khác để thu hút một lượng lớn người dùng mua hàng. Khi tính thanh khoản tăng lên, giá mã thông báo sẽ tăng gấp đôi.

Tương tự như SEI giả, khi giá của token đạt đến một giá trị nhất định, chủ sở hữu của token sẽ tham gia thị trường để bán và thực hiện trò kéo bóng. Như có thể thấy từ hình bên dưới, khoảng thời gian và giá cả nhập và thu hoạch là khác nhau.

Biểu đồ biến động của SEI giả, X giả, TIP giả và mã thông báo Blue giả như sau:

Chúng tôi theo dõi nguồn tiền và hành vi mẫu Có thể biết rằng:

Trong nội dung truy xuất nguồn gốc quỹ, những người sáng lập nhà máy mã thông báo và quỹ của người tạo mã thông báo đến từ nhiều tài khoản EOA. Ngoài ra còn có các dòng tiền giữa các tài khoản khác nhau, một số trong số đó được chuyển qua các địa chỉ lừa đảo, một số có được thông qua các hành vi kéo token trước đó và một số có được thông qua các nền tảng trộn tiền tệ như lốc xoáy tiền mặt. Sử dụng nhiều phương pháp để chuyển tiền nhằm mục đích xây dựng một mạng lưới tài chính phức tạp và phức tạp. Các địa chỉ khác nhau cũng tạo ra nhiều hợp đồng sản xuất token và sản xuất token với số lượng lớn.

Trong khi phân tích hành vi của mã thông báo Rugpull, chúng tôi nhận thấy rằng địa chỉ

0x6f9963448071b88FB23Fd9971d24A87e5244451A là một trong những nguồn vốn. Phương pháp tiếp cận hàng loạt cũng được sử dụng khi vận hành giá token. Địa chỉ 0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3 cũng đóng vai trò là nhà cung cấp quỹ, cung cấp số tiền tương ứng cho nhiều chủ sở hữu token. .

Qua phân tích có thể kết luận có một băng nhóm lừa đảo Web3 với sự phân công lao động rõ ràng đằng sau chuỗi hành vi này, hình thành nên một dây chuyền công nghiệp đen, chủ yếu là liên quan đến việc thu thập điểm phát sóng và xuất bản tự động. Tiền xu, giao dịch tự động, tuyên truyền sai sự thật, tấn công lừa đảo, thu hoạch Rugpull và các liên kết khác chủ yếu xảy ra trong BNBChain. Các token Rugpull giả được phát hành có liên quan chặt chẽ đến các sự kiện nóng trong ngành và rất khó hiểu và mang tính xúi giục. Người dùng cần luôn cảnh giác, duy trì lý trí và tránh những tổn thất không cần thiết.

4. Ransomware

Mối đe dọa từ các cuộc tấn công bằng ransomware vào năm 2023 vẫn là mối đe dọa thường trực trên khắp thế giới các tổ chức và doanh nghiệp, các cuộc tấn công ransomware ngày càng trở nên tinh vi, với việc những kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để khai thác lỗ hổng trong hệ thống và mạng của tổ chức. Các cuộc tấn công ransomware ngày càng gia tăng tiếp tục gây ra mối đe dọa đáng kể cho các tổ chức, cá nhân và cơ sở hạ tầng quan trọng trên toàn thế giới. Những kẻ tấn công liên tục điều chỉnh và cải thiện chiến lược tấn công của mình, sử dụng mã nguồn bị rò rỉ, các kế hoạch tấn công thông minh và các ngôn ngữ lập trình mới nổi để tối đa hóa lợi ích bất hợp pháp của chúng.

LockBit, ALPHV/BlackCat và BlackBasta hiện là những nhóm tống tiền ransomware hoạt động tích cực nhất.

Hình ảnh: Số nạn nhân của tổ chức ransomware

Hiện tại, ngày càng có nhiều ransomware sử dụng tiền điện tử để thu các khoản thanh toán. Lấy Lockbit làm ví dụ. Các công ty bị LockBit tấn công gần đây bao gồm: TSMC vào cuối tháng 6 năm nay, Boeing vào tháng 10 và Ngân hàng Công thương Trung Quốc vào tháng 10 năm nay. Tháng 11. Các công ty con thuộc sở hữu hoàn toàn, v.v., chủ yếu sử dụng Bitcoin để thu tiền chuộc và LockBit sẽ rửa tiền điện tử sau khi nhận được tiền chuộc. Hãy lấy Lockbit làm ví dụ để phân tích mô hình rửa tiền bằng ransomware.

Theo phân tích của ChainAegis, ransomware LockBit chủ yếu sử dụng BTC để thu tiền chuộc, sử dụng các địa chỉ thanh toán khác nhau. Một số địa chỉ và số tiền thanh toán được tóm tắt như sau. Một khoản tiền chuộc duy nhất gồm BTC Nó dao động từ 0,07 đến 5,8 và dao động từ khoảng 2.551 USD đến 211.311 USD.

p>

Hình ảnh: Một phần địa chỉ thanh toán và số tiền thanh toán của LockBit

Sử dụng hai địa chỉ có số tiền liên quan cao nhất để tiến hành theo dõi địa chỉ trên chuỗi và phân tích chống rửa tiền:

Địa chỉ thanh toán tống tiền 1: 1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM;

Địa chỉ thu thập thư tống tiền 2: 1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH.

(1) Địa chỉ thu thập tống tiền 1: 1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM

Theo phân tích trong hình bên dưới, địa chỉ 1 (1Ptfhw) đã nhận được tổng cộng 17 giao dịch trực tuyến từ ngày 25 tháng 3 năm 2021 đến ngày 15 tháng 5 năm 2021. Sau khi nhận được tiền, nó đã nhanh chóng chuyển tài sản đến 13 địa chỉ trung gian cốt lõi. Các địa chỉ trung gian này được chuyển từng lớp thành 6 địa chỉ trung gian lớp thứ hai, cụ thể là: 3FVzPX…cUvH, 1GVKmU…Bbs1, bc1qdse…ylky, 1GUcCi…vSGb, bc1qan…0ac4 và 13CPvF…Lpdp.

Địa chỉ trung gian 3FVzPX…cUvH, thông qua phân tích trên chuỗi, được phát hiện cuối cùng đã chuyển đến địa chỉ darknet 361AkMKNNWYwZRsCE8pPNmoh5aQf4V7g4p.

Địa chỉ trung gian 13CPvF...Lpdp đã chuyển một lượng nhỏ 0,00022 BTC sang CoinPayments. Có 500 giao dịch tương tự và tổng cộng 0,21 BTC đã được thu về địa chỉ CoinPayments: bc1q3y…7y88, sử dụng CoinPayments để rửa tiền.

Các địa chỉ trung gian khác cuối cùng đã chảy vào các sàn giao dịch tập trung Binance và Bitfinex.

Hình ảnh: Nguồn quỹ Địa chỉ 1 (1Ptfhw...hpeM) và chi tiết dòng tiền ra

< p style ="text-align:center;">

Hình: Theo dõi dòng tiền theo địa chỉ 1 (1Ptfhw...hpeM)

Hình: Địa chỉ trung gian và chi tiết dòng vốn liên quan đến địa chỉ 1 (1Ptfhw...hpeM)

Hình: Bản đồ giao dịch Địa chỉ 1 (1Ptfhw...hpeM)

(2) Địa chỉ thu thập thư tống tiền 2: 1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH

Nạn nhân đã trả 4,16 BTC cho kẻ điều hành ransomware LockBit thông qua 11 giao dịch từ ngày 24 tháng 5 năm 2021 đến ngày 28 tháng 5 năm 2021. Ngay lập tức, địa chỉ 2 (1HPz7rn...VvPH) đã nhanh chóng chuyển số tiền tống tiền 1,89 BTC sang địa chỉ trung gian 1: bc1qan...0ac4, 1,84 BTC đến địa chỉ trung gian 2: 112QJQj...Sdha, và 0,34 BTC sang địa chỉ trung gian địa chỉ 3: 19Uxbt...9RdF.

Địa chỉ trung gian cuối cùng 2: 112QJQj…Sdha và địa chỉ trung gian 3: 19Uxbt…9RdF đều chuyển tiền đến địa chỉ trung gian 1: bc1qan…0ac4. Ngay sau đó, địa chỉ trung gian 1 bc1qan...0ac4 tiếp tục chuyển tiền, một phần nhỏ được chuyển trực tiếp đến sàn giao dịch Binance, phần còn lại được chuyển qua các địa chỉ trung gian theo từng lớp và cuối cùng được chuyển tới Binance và các nền tảng khác để rửa tiền. Chi tiết giao dịch cụ thể và nhãn địa chỉ như sau.

Ảnh: Nguồn quỹ Địa chỉ 2 (1HPz7rn...VvPH) và chi tiết dòng tiền ra

< p style="text-align:center;">

Hình ảnh: Theo dõi dòng tiền tại Địa chỉ 2 (1HPz7rn...VvPH)

Hình: Địa chỉ trung gian và chi tiết dòng vốn liên quan đến địa chỉ 2 (1HPz7rn...VvPH)

LockBit sẽ tiến hành rửa tiền điện tử sau khi nhận được tiền chuộc. Mô hình rửa tiền này khác với các phương pháp rửa tiền truyền thống. Nó thường xảy ra trên blockchain và có đặc điểm là chu kỳ dài, quỹ phân tán, mức độ tự động hóa cao và độ phức tạp cao. Để thực hiện giám sát tiền điện tử và theo dõi quỹ, một mặt, chúng tôi phải xây dựng khả năng phân tích và thu thập bằng chứng trên chuỗi và ngoài chuỗi, mặt khác, chúng tôi phải khởi động cuộc tấn công và phòng thủ bảo mật cấp APT ở lĩnh vực an ninh mạng. cấp độ, và có khả năng tích hợp tấn công và phòng thủ.

5. Rửa tiền

Rửa tiền là một phương thức hợp pháp hóa thu nhập bất hợp pháp. thu nhập bất hợp pháp chủ yếu đề cập đến việc sử dụng nhiều phương tiện khác nhau để che đậy và che giấu nguồn gốc và bản chất của thu nhập bất hợp pháp và thu nhập được tạo ra, để biến nó thành hợp pháp về mặt hình thức. Các hoạt động của nó bao gồm nhưng không giới hạn ở việc cung cấp tài khoản vốn, hỗ trợ chuyển đổi hình thức tài sản, hỗ trợ chuyển tiền hoặc chuyển tiền ra nước ngoài. Tiền điện tử – đặc biệt là stablecoin – đã bị các hoạt động rửa tiền khai thác từ khá sớm do chi phí chuyển tiền thấp, phi địa lý hóa và một số đặc điểm chống kiểm duyệt nhất định. Điều này cũng khiến tiền điện tử bị chỉ trích.

Các hoạt động rửa tiền truyền thống thường sử dụng thị trường OTC tiền điện tử để trao đổi từ tiền hợp pháp sang tiền điện tử hoặc từ tiền điện tử sang tiền hợp pháp. Trong số đó, các kịch bản rửa tiền là khác nhau và có hình thức đa dạng, nhưng dù thế nào đi nữa, bản chất của loại hành vi này là ngăn chặn cơ quan thực thi pháp luật điều tra các liên kết tài chính, bao gồm tài khoản của các tổ chức tài chính truyền thống hoặc tài khoản của các tổ chức mật mã.

Khác với các hoạt động rửa tiền truyền thống, mục tiêu rửa tiền của các hoạt động rửa tiền bằng tiền điện tử mới chính là tiền điện tử, bao gồm ví, cầu nối chuỗi chéo và các giao dịch phi tập trung. Cơ sở hạ tầng của ngành tiền điện tử, bao gồm cả nền tảng, sẽ bị khai thác bất hợp pháp.

Hình ảnh: Số lượng hoạt động rửa tiền trong những năm gần đây

Từ năm 2016 đến năm 2023, hoạt động rửa tiền bằng tiền điện tử đạt tổng trị giá 147,7 tỷ USD. Số tiền được rửa đã tăng với tốc độ hàng năm là 67% kể từ năm 2020, đạt 23,8 tỷ USD vào năm 2022 và đạt 80 tỷ USD vào năm 2023. Số tiền được rửa là đáng kinh ngạc và các hoạt động chống rửa tiền bằng tiền điện tử là bắt buộc .

Theo thống kê của nền tảng ChainAegis, số tiền trong nền tảng trộn tiền tệ trên chuỗi Tornado Cash đã duy trì mức tăng trưởng nhanh chóng kể từ tháng 1 năm 2020 và hiện có gần 3,62 triệu ETH được gửi vào nhóm quỹ này, với tổng số tiền gửi lên tới 7,8 tỷ USD. Tornado Cash đã trở thành trung tâm rửa tiền lớn nhất ở Ethereum. Tuy nhiên, khi các cơ quan thực thi pháp luật của Hoa Kỳ ban hành lệnh trừng phạt đối với Tornado Cash vào tháng 8 năm 2022, số lượng tiền gửi và rút hàng tuần của Tornado Cash đã tăng gấp đôi. Tuy nhiên, do tính chất phi tập trung của Tornado Cash nên không thể ngăn chặn nó khỏi nguồn và tiền vẫn tiếp tục chảy vào. Nhập hệ thống để trộn tiền.

Phân tích mô hình rửa tiền của Tập đoàn Lazarus (tổ chức APT của Triều Tiên)

APT quốc gia (Tổ chức Advanced Persistent Threat (Advanced Persistent Threat) là một nhóm hacker hàng đầu với sự hỗ trợ được nhà nước hậu thuẫn, chuyên thực hiện các cuộc tấn công mạng lâu dài và dai dẳng nhằm vào các mục tiêu cụ thể. Tổ chức APT của Triều Tiên Lazarus Group là một nhóm APT rất tích cực. Mục đích tấn công của nó chủ yếu là đánh cắp tiền, khiến nó trở thành mối đe dọa lớn nhất đối với các tổ chức tài chính toàn cầu. Trong những năm gần đây, chúng đã gây ra nhiều vụ tấn công và trộm cắp quỹ trong lĩnh vực tiền điện tử.

Các sự cố và tổn thất bảo mật do Lazarus tấn công vào lĩnh vực mã hóa đã được thống kê rõ ràng như sau:

Hơn 3 tỷ USD Số tiền đã bị Lazarus đánh cắp trong một cuộc tấn công mạng. Có thông tin cho rằng tổ chức hacker Lazarus được hỗ trợ bởi các lợi ích chiến lược của Triều Tiên và cung cấp kinh phí cho các chương trình bom hạt nhân và tên lửa đạn đạo của Triều Tiên. Để đạt được mục tiêu này, Hoa Kỳ đã công bố phần thưởng và biện pháp trừng phạt trị giá 5 triệu USD đối với tổ chức hack Lazarus. Bộ Tài chính Hoa Kỳ cũng đã bổ sung các địa chỉ liên quan vào danh sách Các quốc gia được chỉ định đặc biệt (SDN) của OFAC, cấm các cá nhân, tổ chức và địa chỉ liên quan của Hoa Kỳ thực hiện các giao dịch để đảm bảo rằng các nhóm được nhà nước bảo trợ không thể rút các khoản tiền này thành tiền mặt như một hình phạt. Nhà phát triển Ethereum Virgil Griffith bị kết án 5 năm 3 tháng tù vì giúp Triều Tiên sử dụng tiền ảo để trốn tránh các lệnh trừng phạt. Năm 2023, OFAC cũng xử phạt 3 cá nhân liên quan đến Tập đoàn Lazarus, 2 trong số đó bị xử phạt Cheng Hung Man và Wu Huihui là nhà giao dịch không cần kê đơn (OTC), người đã hỗ trợ giao dịch tiền điện tử cho Lazarus, trong khi người thứ ba, Sim Hyon Sop, cung cấp hỗ trợ tài chính khác.

Mặc dù vậy, Lazarus đã hoàn thành việc chuyển nhượng và rửa tài sản hơn 1 tỷ USD. Mô hình rửa tiền của họ được phân tích dưới đây. Lấy sự cố Atomic Wallet làm ví dụ, sau khi loại bỏ các yếu tố can thiệp kỹ thuật do hacker thiết lập (một số lượng lớn giao dịch chuyển token giả + chia tách nhiều địa chỉ), có thể thu được mô hình chuyển tiền của hacker:

Ảnh: Chế độ xem chuyển tiền của Atomic Wallet Nạn nhân 1

Nạn nhân 1 địa chỉ 0xb02d... c6072 đã chuyển 304,36 ETH đến địa chỉ hacker 0x3916...6340. Sau 8 lần chia tách qua địa chỉ trung gian 0x0159...7b70, nó đã được thu thập về địa chỉ 0x69ca...5324. Sau đó, số tiền thu được sẽ được chuyển đến địa chỉ 0x514c...58f67. Tiền vẫn còn ở địa chỉ này và số dư ETH trong địa chỉ là 692,74 ETH (trị giá 1,27 triệu USD).

Ảnh: Chế độ xem chuyển tiền của nạn nhân Atomic Wallet 2

Địa chỉ nạn nhân 2 0x0b45...d662 đã chuyển 1,266 triệu USDT sang địa chỉ hacker 0xf0f7...79b3. Hacker chia thành 3 giao dịch, 2 trong số đó được chuyển sang Uniswap, với tổng số tiền chuyển là 1,266 triệu USDT ; cái còn lại Cây bút được chuyển về địa chỉ 0x49ce...80fb, số tiền chuyển là 672.71ETH. Nạn nhân 2 đã chuyển 22.000 USDT đến địa chỉ hacker 0x0d5a...08c2. Hacker chia tài khoản nhiều lần thông qua địa chỉ trung gian 0xec13...02d6, v.v. và trực tiếp hoặc gián tiếp thu tiền về địa chỉ 0x3c2e...94a8.

Mô hình rửa tiền này rất phù hợp với mô hình rửa tiền trong các cuộc tấn công Ronin Network và Harmony trước đây, cả hai đều bao gồm ba bước:

(1) Phân loại và trao đổi số tiền bị đánh cắp: Sau khi phát động một cuộc tấn công, hãy phân loại các mã thông báo bị đánh cắp ban đầu và hoán đổi nhiều mã thông báo thành ETH thông qua dex và các phương thức khác. Đây là một cách phổ biến để tránh bị đóng băng quỹ.

(2) Thu thập số tiền bị đánh cắp: Tập hợp ETH có tổ chức vào một số địa chỉ ví dùng một lần. Tin tặc đã sử dụng tổng cộng 9 địa chỉ như vậy trong vụ Ronin, 14 địa chỉ ở Harmony và gần 30 địa chỉ trong vụ Ví Atomic.

(3) Chuyển tiền bị đánh cắp: Sử dụng địa chỉ nhận tiền để rửa tiền thông qua Tornado.Cash. Điều này hoàn thành toàn bộ quá trình chuyển tiền.

Ngoài việc có các bước rửa tiền giống nhau, các chi tiết về rửa tiền còn có mức độ nhất quán cao:

(1) Những kẻ tấn công rất kiên nhẫn và mất tới một tuần để tiến hành các hoạt động rửa tiền. Tất cả bọn chúng đều bắt đầu các hoạt động rửa tiền tiếp theo vài ngày sau khi vụ việc xảy ra.

(2) Các giao dịch tự động được sử dụng trong quy trình rửa tiền. Hầu hết các hoạt động thu quỹ liên quan đến số lượng giao dịch lớn, khoảng thời gian ngắn và mẫu thống nhất.

Qua phân tích, chúng tôi cho rằng mô hình rửa tiền của Lazarus thường như sau:

(1) Nhiều tài khoản riêng biệt và chuyển giao tài sản với số lượng nhỏ khiến việc theo dõi trở nên khó khăn hơn.

(2) Bắt đầu tạo ra một số lượng lớn giao dịch tiền giả, khiến việc theo dõi trở nên khó khăn hơn. Lấy sự cố Ví Atomic làm ví dụ, 23 trong số 27 địa chỉ trung gian là địa chỉ chuyển tiền giả. Một phân tích gần đây về sự cố Stake.com cũng cho thấy công nghệ tương tự đã được sử dụng, nhưng điều này không xảy ra trong Mạng Ronin trước đó và Sự cố hài hòa Công nghệ can thiệp cho thấy công nghệ rửa tiền của Lazarus cũng đang được nâng cấp.

(3) Nhiều phương pháp trên chuỗi hơn (chẳng hạn như Tonado Cash) được sử dụng để trộn tiền. Trong những sự cố ban đầu, Lazarus thường sử dụng các sàn giao dịch tập trung để bắt đầu- hoặc thực hiện OTC tiếp theo, nhưng gần đây ngày càng ít sàn giao dịch tập trung được sử dụng và thậm chí có thể coi là họ đang cố gắng tránh sử dụng các sàn giao dịch tập trung. Điều này có liên quan đến một số lệnh trừng phạt gần đây.

6. Các biện pháp trừng phạt và giám sát

Bộ Tài chính Hoa Kỳ, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC), v.v. và các cơ quan tương tự ở các quốc gia khác, bằng cách áp dụng các biện pháp trừng phạt đối với các quốc gia, chế độ, cá nhân và tổ chức được coi là gây ra mối đe dọa cho an ninh quốc gia và chính sách đối ngoại. Việc thực thi các biện pháp trừng phạt theo truyền thống dựa vào sự hợp tác của các tổ chức tài chính chính thống, nhưng một số tác nhân xấu đã chuyển sang tiền điện tử để vượt qua các trung gian bên thứ ba này, tạo ra những thách thức mới cho các nhà hoạch định chính sách và cơ quan xử phạt. Tuy nhiên, tính minh bạch vốn có của tiền điện tử, cũng như sự sẵn sàng của các dịch vụ tiền điện tử tuân thủ, đặc biệt là nhiều sàn giao dịch tập trung đóng vai trò là mối liên kết giữa tiền điện tử và tiền tệ fiat, đã chứng minh rằng việc áp dụng các biện pháp trừng phạt là có thể xảy ra trong thế giới tiền điện tử.

Sau đây là tình hình một số cá nhân hoặc tổ chức liên quan đến tiền điện tử phải chịu lệnh trừng phạt tại Hoa Kỳ vào năm 2023 và lý do dẫn đến lệnh trừng phạt OFAC.

Tether, công ty đứng sau stablecoin lớn nhất thế giới, đã thông báo vào ngày 9 tháng 12 năm 2023 rằng họ sẽ "đóng băng" ví của các cá nhân bị trừng phạt bởi Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Hoa Kỳ. danh sách cá nhân. Trong thông báo của mình, Tether xem động thái này là một bước tự nguyện nhằm “chủ động ngăn chặn mọi hành vi lạm dụng tiềm ẩn đối với token Tether và tăng cường các biện pháp bảo mật”.

Điều này cũng cho thấy việc điều tra và trừng phạt tội phạm tiền điện tử đã bước vào một giai đoạn đáng kể. Sự hợp tác giữa các doanh nghiệp cốt lõi và các cơ quan thực thi pháp luật có thể hình thành các biện pháp trừng phạt, giám sát và trừng phạt hiệu quả . Tội phạm tiền điện tử.

Hồng Kông cũng đã đạt được tiến bộ lớn trong việc quản lý Web3 vào năm 2023 và đang đưa ra lời kêu gọi rõ ràng về việc "phát triển tuân thủ" Web3 và thị trường mã hóa. Khi Cơ quan tiền tệ Singapore bắt đầu hạn chế khách hàng bán lẻ sử dụng đòn bẩy hoặc tín dụng để giao dịch tiền điện tử vào năm 2022 và chính phủ Đặc khu hành chính Hồng Kông công bố "Tuyên bố chính sách về phát triển tài sản ảo ở Hồng Kông", một số tài năng và công ty Web3 đang hướng tới miền đất hứa mới.

Vào ngày 1 tháng 6 năm 2023, Hồng Kông đã thực hiện Tuyên bố và ban hành "Hướng dẫn áp dụng cho các nhà điều hành nền tảng giao dịch tài sản ảo" và hệ thống cấp phép nền tảng giao dịch tài sản ảo đã chính thức được triển khai và đã cấp giấy phép Loại 1 (kinh doanh chứng khoán) và Giấy phép Loại 7 (cung cấp dịch vụ giao dịch tự động).

Hiện tại, OKX, BGE, HKbitEX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus, DFX Labs và các tổ chức khác đang tích cực đăng ký giao dịch tài sản ảo giấy phép nền tảng (VASP).

Giám đốc điều hành Li Ka-chiu, Bộ trưởng Tài chính Paul Chan và những người khác thường xuyên thay mặt chính phủ Hồng Kông lên tiếng ủng hộ việc triển khai Web3 ở Hồng Kông và thu hút các công ty mã hóa và nhân tài từ khắp nơi trên thế giới xây dựng nó. Về hỗ trợ chính sách, Hồng Kông đã giới thiệu hệ thống cấp phép cho các nhà cung cấp dịch vụ tài sản ảo, cho phép các nhà đầu tư bán lẻ giao dịch tiền điện tử, ra mắt Quỹ sinh thái Web3 Hub với quy mô hàng chục triệu đô la và có kế hoạch đầu tư hơn 700 đô la Hồng Kông. triệu USD để đẩy nhanh sự phát triển của nền kinh tế kỹ thuật số và thúc đẩy sự phát triển của ngành tài sản ảo. Một nhóm đặc nhiệm phát triển Web3.0 cũng đã được thành lập.

Tuy nhiên, trong khi tiến bộ nhanh chóng, các sự kiện rủi ro cũng đang lợi dụng đà tăng trưởng. Sàn giao dịch tiền điện tử không có giấy phép JPEX có liên quan đến một vụ án liên quan đến hơn 1 tỷ đô la Hồng Kông, vụ lừa đảo HOUNAX liên quan đến số tiền hơn 100 triệu nhân dân tệ, HongKongDAO và BitCuped bị nghi ngờ lừa đảo tài sản ảo... Những vụ việc xấu xa này đã thu hút sự chú ý của dư luận. sự quan tâm lớn từ Ủy ban Điều tiết Chứng khoán Hồng Kông và cảnh sát. Ủy ban Chứng khoán và Tương lai Hồng Kông tuyên bố rằng họ sẽ xây dựng các tiêu chí đánh giá rủi ro đối với các trường hợp tài sản ảo với cảnh sát và tiến hành trao đổi thông tin hàng tuần.

Tôi tin rằng trong tương lai gần, một hệ thống an ninh và giám sát hoàn thiện hơn sẽ giúp ích cho Hồng Kông. Là một trung tâm tài chính quan trọng giữa phương Đông và phương Tây, Hong Kong Kong đang mở rộng vòng tay của mình với Web3.