查看原文
其他

MistTrack 案例二|Wasabi Coinjoin 提款分析

慢雾 AML 团队 慢雾科技 2023-06-20

By: Enze & Zero


概览


某大户地址私钥泄露被盗,被盗资金被转移到 Wasabi Coinjoin 中。被盗用户寻求 MistTrack 团队(https://misttrack.io/)协助。MistTrack 团队对混入 Wasabi Coinjoin 的被盗资金进行提款分析,成功追踪并重新捕获资金流向。随后,黑客对资金进行跨链交易。MistTrack 团队发现跨链后黑客地址有转移到交易所的历史痕迹,于是协助执法机构与交易所取得联系,申请调证并对相关账户进行风控。后黑客进一步转移被盗资金到交易所相关账户,部分被盗资金成功被冻结。


MistTrack 团队在此案例中的关键步骤主要包括:


1. 建立信任关系:与被盗用户建立良好的信任关系,这是分析和追踪工作的基础;

2. 追踪被盗资金:通过专业技术追踪被盗资金的流向;

3. 分析黑客行为:对黑客的行为模式进行深度分析,以理解其操作和预测其可能的下一步行动;

4. Wasabi Coinjoin 提款分析:利用专门的分析工具研究被混入 Wasabi Coinjoin 的被盗资金;

5. 跨链追踪:当黑客进行跨链交易尝试转移资金时,追踪资金的流向;

6. 执法机构介入:在必要的情况下,请执法机构介入并提供支持。


接下来,我们将详细讲述 MistTrack 团队在此案例中的具体工作和分析过程。


被盗资金追踪


在接到被盗用户的求助请求后,MistTrack 团队迅速对被盗资金展开调查和追

踪。


在追踪过程中,我们发现大部分资金已被转入 Wasabi Coinjoin。



Wasabi Coinjoin 提款分析


基于初步掌握的情况,本案例的关键突破点在于 Wasabi Coinjoin 的提款部分。因此,我们围绕这一点进行了深入分析。

MistTrack 团队对 Wasabi Coinjoin 过程中的输出(output)和输入(input)地址进行了研究,并对多笔资金的交集进行了详细的分析和比较。


在获得提款地址列表后,MistTrack 团队从以下几方面分析这些地址:


  • 地址使用频率

  • 输入金额

  • 提款金额

  • 提款后的交易行为特征


经过一系列的详细分析,团队成功分析出多个可疑的提款地址。接着,我们对这些提款地址的提款数额进行统计和比较,结果发现这些数额与黑客转入 Wasabi Coinjoin 的资金基本一致。我们发现不同的 Wasabi Coinjoin 提款交易存在着一定的关联性,且提款地址存在聚类关系。因此,基本可以确定这些地址就是黑客的提款地址。


下图是黑客 Coinjoin 交易鸟瞰图

 


下图是黑客 Coinjoin 交易的局部鸟瞰图:



跨链追踪


在 MistTrack 团队分析出黑客的 Wasabi Coinjoin 提款地址列表之后,对被盗资金进行了进一步追踪。我们发现黑客使用 renBTC 进行跨链操作。通过深入分析 renBTC 跨链资金,我们成功获得黑客在以太坊链上的 renBTC 提款地址。


随后,黑客获取了 renBTC 并通过交换平台将其兑换为 ETH,再进一步将其分散转移到多个交易所。


黑客痕迹分析


依据上述的链上痕迹,MistTrack 团队对黑客的行为痕迹进行了深入分析:


  • 黑客画像

黑客显然对加密货币的洗钱手法非常熟悉,而且精通利用各种自动化工具和暗网工具来操作。



Wasabi Coinjoin 使用界面截图


  • 黑客的其他交易

黑客 ETH 链 renBTC 提款地址存在从交易所存提款的交易。

 


交易所账户风控


在 MistTrack 团队分析出黑客使用交易所的历史记录后,立即将这些信息同步给被盗用户,并协助执法机构联系交易所申请调证。紧接着,交易所对可能涉及的账户实施了相关的风控措施。


结果


最终,当黑客进一步转移被盗资金到交易所相关账户时,在 MistTrack 团队、执法机构、交易所三方的紧密协作下,成功冻结了部分被盗资金。这一举措有效阻止了黑客进一步转移资金。目前,剩余资金仍处于 MistTrack 团队的监控中。


往期回顾

引介|EVM 深入探讨 Part 6

链下签名也能钓走你的 Token?—— Permit 签名分析

智能合约安全审计入门篇 —— 抢跑

慢雾:Web3 钱包 eth_sign 支持情况分析

慢雾:Web3 假钱包第三方源调查分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存