
2024 年 5 月 31 日,因遭到黑客攻击,4502.9 BTC(价值约 3.08 亿美元)从日本交易所 Bitcoin.DMM.com 被盗。
网络安全机构 Match Systems 对本案进行了当前的评估。
已查明如下:
1. 为了洗白被盗资金,黑客主要使用加密货币混币器 JoinMarket。目前,已有超过 2500 BTC 被发送到与 JoinMarket 相关的地址。其余资金(2000 BTC)位于黑客最初的 4 个地址上:
bc1q2tu4dxyvnaquar96mj99yqjanfzgg3fv4gzytd
bc1qr4vnu4f4tl3gwfxt6a5hgt6vuusgsd0j2cnz74
bc1qrtltlc7zjzj3knde2tqjt7tl2p5l2keh4l2uka
bc1qx6jpnnfjrfcx9ehhdmj7qqyzpyd8pek00trrq7
2. 通过对 JoinMarket 混币器前后的特征和模式进行软件分析、并结合交易量和日期/时间以及其他专门方法,Match Systems 团队得以识别出从混币器发出的第一笔可能的大额提现——222.8 BTC(价值 1,280 万美元),流向地址:
bc1qjws6r0r8zhy7dm329l0wnfpn2fra68pltfkrtz
还查明,被盗资金中有相当大的一部分——总计超过 3,720 万美元——在经过 JoinMarket 混币器之后,可能通过 Avalanche 跨链桥、THORChain、Threshold 以及 SWFT.pro 服务,被提往 HuionePay 支付处理服务的多个充值地址:
TLk8xMroBtfktfhbEQRjukAYiKfpZZZZZZ
TC8eG6oqZVr2xsZ3V9DJjZZABsGUbwrtzS
TXNdzqFtG6P6rgC1QRTUkCinJFkPV5ghti
TQXU95jk1BgwD6bDGAwki3utcq5ZuXyiVN
TJyM81bZ1WAcTTVBxJhddcZhbRM3TKVtRw
TNyw5peRGP7SHyuRH8k4SzzJixRvVVVVVV
TYPoqic5ZdSgJTMPXdhJra7QeDwja6jcP9
TDWejoQGGBWTvioz34UyS6YF6S2Xry1naJ
TQ3udS9wzy73yYWJ3mcQyjBqwYJyNq1zaM
关于这一点,知名调查员 ZachXBT 也在他的「X」(原 Twitter)频道中提供了详细信息。
上述充值地址上的部分资金,可能来自其他重大黑客攻击。
有趣的是,HuionePay 的一个运营地址已于 2024 年 7 月 13 日在 Tether Limited 智能合约层面被冻结——TNVaKWQzau7xL9bcnvLmF9KSEQkWEs4Ug8(该地址当前余额超过 2,960 万 USDT)。
3. 需要指出的是,一个完整的洗钱周期(考虑到被盗资金的总额)可能需要数月到一年之久。Match Systems 将继续监控被盗资金的流动。