超过 1,500 枚比特币(按当前汇率超过 1 亿美元),在黑客的窝点里存放了 7 个多月之后,开始移动。这些与近年来多起重大黑客攻击相关联、此前被 FBI 调查归因于 Lazarus 团伙活动的被盗资金(FBI 新闻稿),开始被洗白。
以下是这些地址的清单:
3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG
39idqitN9tYNmq3wYanwg3MitFB5TZCjWu
3AAUBbKJorvNhEUFhKnep9YTwmZECxE4Nk
3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc
3NbdrezMzAVVfXv5MTQJn4hWqKhYCTCJoB
34VXKa5upLWVYMXmgid6bFM4BaQXHxSUoL
正在调查本次事件的我们的分析师团队查明,截至目前,黑客已经设法通过加密货币交易所 HTX、CoinEx 和 FixedFloat 洗白了超过 44 BTC(按当前汇率超过 300 万美元)。
尽管存在制裁标记,黑客仍几乎畅通无阻地设法通过遵守 AML 政策的加密货币交易所洗白被盗资金。这在很大程度上得以实现,是因为黑客使用了特殊的洗白手法,让他们能够误导交易所的 AML 系统——这些系统并不总能跟上标记的更新,往往在黑客已把资金从交易所提走之后,才得知自己接收了被盗资金。
Match Systems 敦促各加密货币交易所和整个加密社区关注上述黑客地址,以阻止黑客实施其计划。
黑客:
Safemoon 团队:
黑客:
Safemoon 团队:
Safemoon 团队:
Safemoon 团队:
0x60dc5bb048310224b8732d732f4a32d16690e470 —— 由一名不明的第三方使用,此人认识黑客和 Safemoon 团队,并愿意在事件中居中斡旋,曾向黑客发送消息
0x70b8172e628992007453aa4fe27048b59957e0ef —— 由一名不明的第三方使用,用来向 Safemoon 团队和黑客发送消息


关键事件时间线
事件的时间顺序(UTC)原样呈现

我们的动物园
依上文而来的关注点:
0x286e09932b8d096cba3423d12965042736b8f850 —— 从智能合约中最初转出资产的地址。也被黑客用来向 Safemoon 项目团队发送消息(我们称之为「红毛水豚」)
0x237d58596f72c752a6565858589348d0fce622ed —— 资产目前所存放的地址。(我们称之为「蓝色狐獴」)000000000000000000000000000000
0x60dc5bb048310224b8732d732f4a32d16690e470 —— 发来提出为谈判提供中间人的那条消息的地址(我们称之为「黄色鸽子」)
0x60dc5bb048310224b8732d732f4a32d16690e470 —— 发来提出为谈判提供中间人的那条消息的地址(我们称之为「黄色鸽子」)
为这些「野兽」去匿名
- 对红毛水豚的去匿名,可以通过从 Binance 获取以下充值地址所有者的信息来完成:
0x207e689ba4fdcd8e6e3a4a40d8247d7cce1462b3, 0xeec475b4bed5822eef6ccda45c52ff54da1414f7
以及提供「gas」的那些交易发起方
0x34927071e8c58c99db192b88f58a3ef2b1b6cf998f21dc1a08be270e519ec57e
0xb730a8be2a0a2ec13aba48fcc33dae8a1d5e31383df270fee16d48b681e1c861
0x40e2969e2c88c642a332acaca8c706d3c415d8a253d45d36ca77c6b6a790d54f
0x1ee79a12b795d3554e98c4c84c482f2e2f3b6eb87e80649dfccee20f8e818382
0x24da81ed18e1d129dffdbb9ffa0c8c37edfd22b012f52d89030a45169f47a17e

- 通过红毛水豚对蓝色狐獴进行去匿名

- 对黄色鸽子的去匿名,可以通过从 Binance 获取以下充值地址所有者的信息来完成:
TLaUFJmCwU3GazcmHKVkvNKE4EgU9qmvYH
以及提供「gas」的那个交易发起方
2b081cd589254db6ed7eaf5128d2a3c762ac66bea183d4ce2a65941279984fa8
还可从 Paxful 获取其他发起方的信息:
656995b7d2af3941f916db96cbd1d903717ca869b877b37042bef7e2503cc4c5
036ca0e667922e741d3813666bc04bb76f8b34f3c875d72ca5f8f82ba91b9c45
b6e2ff66ee8e6f28476a6d02a5cb9c439546fee306f4ee589e1ea30ba43cc1b9
3fc3ab6748937ddd9d791c036673b7cf90f55b71cb64bddebe76b0d5b4edda0c

- 至于「黑色狐狸」地址 0x70b8172e628992007453aa4fe27048b59957e0ef,目前无法确立任何额外的数据。

此次黑客攻击的一些技术细节与社区反应
而这个漏洞,反过来又引发了一波针对开发者的愤怒与指责。社区否认了这个漏洞是意外的这一说法,并指责开发者故意把该漏洞植入一个正在运行的智能合约中。
更多、还有更多、以及更多……

此外,「https://dune.com/」上昵称为「@factsudeny」的用户发布了他认为与 Safemoon 相关的地址,并对这些地址提供了分析。跨链分析显示,这些地址在各种 0x 区块链上都有匹配,但在确认它们确属 Safemoon、并确立是否有必要对其加以研究之前,进一步的研究并无价值。

权作结语
本研究发现了攻击者与中心化加密货币交易所之间的密切联系,这反过来又将使执法机构在存在公正理由的情况下,能够调取相关数据、识别涉案人员
开发者对智能合约做出的、允许此类操纵的这些改动,值得额外关注。考虑到之前版本的智能合约并不存在此类漏洞,而在更新之后、相对较短的时间内便发生了一起黑客攻击——就参与做出这些改动的相关人员进行一次额外的内部审计,似乎是合理的。
附记
本研究可能并不完整,部分信息也可能有所缺失,因为它是我们团队利用自己的时间、出于练习目的而完成的。在撰写本文时,我们没有任何合同或保密协议限制我们收集、分析或传播这些信息,也不限制我们在必要时对该事件进行深入研究。
