Match Systems 的专家对一起案件进行了调查,在此案中,受害者因一次「粉尘攻击」(dust attack,头皮屑攻击),无意间把 5 万枚 USDT 代币发送到了骗子的加密货币地址。关于「粉尘攻击」(头皮屑攻击)的更多信息,可在此链接的文章中找到。
在受害者求助后,首先采取了应急措施,在所有主要的区块链分析器中把攻击者的地址标记为「被盗资金」,并向所有主要的加密货币交易所发出紧急通知,告知攻击者的地址属于非法活动。这些措施提高了被盗资金在被发送到交易所时被临时冻结的机会。此外,Match Systems 还把受害者资金所流向的攻击者地址列入了专门监控。
盗窃发生数日后,攻击者开始从一个地址转移被盗资金,而该地址此前因 Match Systems 的应急行动,已被打上 100% 的「被盗资金」标记。
被盗资金流动的总体方案,如可视化图所示。
让我们按顺序来梳理。

1. 攻击者从最初的地址,把被盗的 5 万 USDT 发送到下一个地址,从那里开始,被盗资金向攻击者的 5 个新地址做循环流动。就这样,攻击者把被盗资金在 5 个地址之间循环转移了 20 多次。此后,被盗资金离开了这个循环的范围,流向下一个新地址。

上述操作并未能让攻击者「洗白」被盗资金。离开「循环」之后,该地址所收到资金的构成,是 100% 的「被盗资金」。
2. 离开「循环」之后,攻击者把被盗的 5 万 USDT 发送到一条由 50 个新地址构成的、长长的闭环交易链上。在第二轮,攻击者把资金转到了下一个阶段。

上述操作同样未能让攻击者「洗白」被盗资金。离开这条长交易链之后,该地址所收到资金的构成,是 100% 的「被盗资金」。
3. 离开这条长交易链之后,攻击者在一个新地址上,把被盗的 5 万 USDT 与另外 5 万 USDT 混在一起。之后,他分别以每笔 5 万 USDT 发送到 2 个新地址,并再次混合。然后,攻击者在一个新地址上,把 10 万 USDT 与另外 10 万 USDT 混在一起(在一个地址上收到了 20 万 USDT)。

上述操作,让攻击者通过与其他未被标记为「被盗资金」的资金合并,部分地「洗白」了被盗资金。离开这条交易链之后,该地址所收到资金的构成,是 25% 的「被盗资金」。
4. 合并之后,收到的 20 万 USDT 通过「BitTorrent-Chain ERC20 智能合约」被发送到 BitTorrent 区块链,在那里,资金又被拆分为最初的 5 万 USDT,并加入 15 万 USDT 用于混合,随后被转回 Tron 区块链、发往 2 个新地址。

上述操作,通过让被盗资金穿过另一条区块链,让攻击者彻底「洗白」了它们(这种手法常被攻击者用来快速掩盖犯罪的踪迹)。离开 BitTorrent 区块链之后,该地址所收到资金的构成,是 0% 的「被盗资金」。
5. 完成跨链转移之后(从 BitTorrent 桥回到 Tron 区块链之后),攻击者把被盗的 5 万 USDT 发送到 1 个由 5 个新地址构成的循环,随后在循环内把它们与另外 10 万 USDT 混在一起,并单独把 5 万 USDT 从循环中带出、发往一个新地址。

6. 离开下一轮转移之后,被盗的 5 万 USDT 被发送到最终地址,在那里,资金又与此前离开 BitTorrent 区块链的另外 15 万 USDT 混在一起(这在第 4 点中提到过)。然后,总额 20 万 USDT 的资金被发送到加密货币借贷服务「JustLend.org」。

结果,被盗资金保持了「干净」。离开这条交易链之后,该地址所收到资金的构成,是 0% 的「被盗资金」。
在本文中,借助一个真实的例子,考察了攻击者在「洗白」和提取被盗资金时所使用的各种方法。这份清单并不详尽,因为还有其他方法,涉及使用加密货币混币器、兑换服务、把资金经由 AML 管控水平低下的加密货币交易所或兑换服务加以输送等等。本信息仅供参考之用,不得用于非法目的。本文作者对所提供信息的后续使用和应用不承担责任。
