《慢霧科技：2022年上半年區塊鏈安全及反洗錢分析報告（65頁）.pdf》由會員分享，可在線閱讀，更多相關《慢霧科技：2022年上半年區塊鏈安全及反洗錢分析報告（65頁）.pdf（65頁珍藏版）》請在三個皮匠報告上搜索。

1、2022 上半年區塊鏈安全及反洗錢分析報告0目錄一、背景31.1 區塊鏈生態與監管31.2 區塊鏈安全態勢41.3 區塊鏈反洗錢態勢6二、區塊鏈安全現狀122.1 區塊鏈生態安全概覽122.1.1 公鏈賽道122.1.1.1 DeFi122.1.1.2 NFT142.1.1.3 跨鏈橋162.1.2 交易平臺172.1.3 其他182.2 攻擊手法概覽192.3 典型安全事件212.3.1 Ronin Network 損失超 6.1 億美元212.3.2 Wormhole 損失超 3 億美元212.3.3 Beanstalk Farms 遭閃電貸和提案攻擊222.3.4 Harmony 損失超

2、 1 億美元222.3.5 Pokemoney 發生 Rug Pull222.3.6 C 部分賬戶遭黑客攻擊222.3.7 Uniswap 空投釣魚攻擊222.3.8 OpenSea 多名用戶遭郵件釣魚232.3.9 ApeCoin 空投閃電貸套利232.3.10 BAYC 官方 Discord 遭攻擊232.3.11 FEG 遭兩次閃電貸攻擊232.3.12 Optimism 因合約漏洞損失 2000 萬枚 OP2312.3.13 MM.finance 遭 DNS 劫持攻擊242.3.14 KLAYswap 遭到惡意前端攻擊242.3.15 Terra 生態崩潰24三、典型安全事件反洗錢分析

3、243.1 典型安全事件損失概覽253.2 工具及方法263.2.1 基礎工具-MistTrack263.2.2 拓展方法-數據分析283.3 反洗錢分析詳述303.3.1 Ronin Network303.3.2 Wormhole363.3.3 Beanstalk373.3.4 Harmony393.3.5 C423.3.6 Uniswap Phishing443.3.7 ApeCoin 空投閃電貸套利463.3.8 BAYC 官方 Discord 遭攻擊473.3.9 FEGToken483.3.10 Optimism533.3.11 MM.finance55四、總結58五、免責聲明59六

4、、關于我們602本報告聚焦于 2022 年上半年區塊鏈行業所發生的重大事件，主要介紹區塊鏈行業各賽道的安全狀況，延伸并提煉出上半年發生的典型安全事件以及常見攻擊手法。接著對典型安全事件的被盜資金流向進行分析，并通過歸納總結，首次公布一種針對混幣器資金追蹤的高級分析方法。一、背景1.1 區塊鏈生態與監管近兩年來，在疫情持續肆虐、經濟衰退、能源短缺、地緣沖突升級、國際間競爭加劇等種種因素的影響之下，全球社會與經濟發展遭遇了前所未有的挑戰。與此同時，全球區塊鏈行業也經歷著一場不斷加速的變革：區塊鏈技術的效率、安全性和可擴展性得到不斷改善，元宇宙、NFT 等新興領域的興起，使區塊鏈行業正式邁入 3.0

5、 時代。從政策監管來看，隨著監管機構及大眾對加密貨幣和區塊鏈技術的了解程度越來越高，各國對加密貨幣領域的政策正在走向截然不同的路。各國政府關于加密貨幣監管的態度總體可分為三種：擁抱支持、模糊不定、嚴令禁止。盡管各國政府對于加密貨幣的態度不盡相同，但從上半年的政策來看，2022 年無疑是加密監管新紀元的開端，加密貨幣市場正在步向合規化。從產業賦能來看，區塊鏈產業發展機遇與挑戰并存，區塊鏈技術正在從“可用”走向“好用”，疫情推動各行業數字化轉型的背景下，區塊鏈正與傳統行業加速融合，例如區塊鏈“雙碳”應用的爆發式增長，這不僅代表了全球在應對氣候變化以及促進可持續發展方面的迫切需求，還代表了“綠色革命

6、”與新興技術的快速融合。除此之外，隨著知識產權管理應用的強勢崛起、新的行業聯盟鏈層出不窮、區塊鏈在數據等領域更多的應用落地等，都表明區塊鏈在驅動各行業業務升級中發揮日益重要的作用。從市場發展來看，一方面，由于價格暴跌、DeFi 協議崩潰和 CeFi 的破產，加密貨幣在上半年經歷了令人難以置信的動蕩；另一方面，許多新興趨勢和主題正在形成，加密貨幣用戶和 Web3 開發人員的數量正在上升，元宇宙的形態正在漸漸顯現。據 CoinMarketCap 數據顯示，截至 6 月 30 日全球加密貨幣總市值超過 9051 億美元，全球區塊鏈市場整體上仍在蓬勃發展。31.2 區塊鏈安全態勢隨著區塊鏈行業發展態勢

7、整體越來越好，加密貨幣犯罪也越來越猖獗。根據慢霧區塊鏈被黑事件檔案庫（SlowMist Hacked）統計，截至 6 月 30 日，2022 上半年安全事件共187 件，損失高達19.76 億美元。（2022 上半年安全事件）從統計數據來看，上半年發生安全事件次數較多的月份主要在 5、6 月；從各生態來看，BSC 上安全事件發生最多；從賽道來看，損失最多的是跨鏈橋。（2022 上半年各月份各生態賽道事件分布）4在這些安全事件中，約 77%（144 起）源于項目自身存在漏洞被攻擊者利用，損失金額約 18.4 億美元，占安全事件總損失的 93%；約 21%（39 起）源于包含 Phishing&R

8、ug Pull 的 Scams，損失金額約 1.3 億美元，占安全事件總損失的 6%。（2022 上半年安全事件攻擊原因分布圖）（2022 上半年安全事件攻擊原因損失對比圖）51.3 區塊鏈反洗錢態勢匿名性與不可逆是加密貨幣交易的天然屬性，正是這樣的原因，在加密貨幣犯罪頻發的情況下，區塊鏈反洗錢處于一個至關重要的位置，也是阻止黑客成功變現的最后防線。面對黑客無孔不入的威脅，不同的群體也不約而同的“組建”起反洗錢同盟，其中包括交易平臺/資金管理平臺/項目方、監管方和區塊鏈安全公司。2022 上半年，這些群體的反洗錢動態如下：交易平臺/資金管理平臺/項目方Tether：2022 上半年共計 屏蔽了

9、 132 個 ETH 地址，這些地址上擁有的 USDT-ERC20 資產被凍結不可轉移。Circle：2022 上半年共計 屏蔽了 18 個 ETH 地址，這些地址上擁有的 USDC-ERC20 資金被凍結不可轉移。監管方美國財政部：4 月 14 日制裁 Ronin Network 黑客（LAZARUS GROUP）相關的地址，5 月 6 日 制裁加密貨幣混幣器 Blender，值得注意的是，美國財政部在此之前從未制裁過加密貨幣混幣器。區塊鏈安全公司Chainalysis：3 月 10 日，創建 SanctionsList 鏈上數據庫合約，共計 制裁 31 個地址。SlowMist：4 月 2

10、7 日，MistTrack 反洗錢追蹤系統 正式上線，專注于打擊加密貨幣洗錢活動。眾所周知，造成區塊鏈安全事件的黑客、黑色產業鏈、欺詐者和 Rug Pull 項目方一直是洗錢的主力，其中最臭名昭著的莫過于朝鮮 LAZARUS GROUP 黑客組織，給區塊鏈生態安全帶來巨大的威脅。根據開源情報和鏈上數據分析推測 LAZARUS GROUP 上半年的動態如下：1 月 17 日，C 的少數用戶賬戶遭到未經授權提款。2 月 8 日，The IRA Financial 的 Gemini 托管賬戶被惡意提款。3 月 23 日，Ronin Network 跨鏈橋被盜成為加密貨幣領域損失最大的黑客攻擊事件之一

11、。6在這些與 LAZARUS GROUP 相關的安全事件中，我們可以通過他們成體系的洗錢手法發現他們的痕跡：初期：將 ETH 鏈上的獲利資金全部兌換為 ETH，并將所有的 ETH 分批轉入 Tornado.Cash（大量）或者交易平臺（少量）。中期：從 Tornado.Cash 分批提款后兌換為 renBTC 代幣跨鏈到 BTC 鏈。后期：在 BTC 鏈上，從 renBTC 提款后匯總資金，并進一步轉移到 Coinjoin 和混幣器。在黑客、黑色產業鏈、欺詐者和 Rug Pull 項目方洗錢過程中，自然少不了一些洗錢工具的幫忙，常見的洗錢工具有 ETH/BSC 鏈上的 Tornado.Cash

12、，BTC 鏈上的 Coinjoin 工具（ChipMixer 等）、混幣器（Blender、CryptoMixer 等）、隱私錢包（Wasabi、Samourai 等）、換幣平臺（ChangeNOW、SimpleSwap、FixedFloat 等）和一些交易平臺。一些常見洗錢工具上半年的存提款數據如下：（Tornado.Cash 上半年存款/提款圖）Tornado.Cash：2022 上半年 用戶共計存款 955,277 ETH（約 24.42億美元）到 Tornado.Cash，共計從 Tornado.Cash 提款 892,573 ETH（約 22.49 億美元）。7（ChipMixer

13、上半年存款/提款圖）ChipMixer：2022 上半年用戶共計存款 26,021.89 BTC 到 ChipMixer，共計從 ChipMixer 提款14,370.57 BTC。Blender：LAZARUS GROUP 使用此混幣器洗 Ronin Network 跨鏈橋被盜的錢，于 5 月 6 日被美國財政部制裁，目前站點已不可用。在反洗錢分析過程中，始終存在著幾個核心的問題：發起攻擊的手續費來自哪里？洗錢的資金去了哪里？我們將通過上半年的典型安全事件來探索這兩個問題。發起攻擊的手續費來自哪里？8（典型安全事件攻擊手續費來源圖）根據典型安全事件攻擊手續費來源圖，典型安全事件的攻擊手續費大

14、多都來自 Tornado.Cash 提款，也有從換幣平臺、交易平臺提款或從其他個人地址轉移的情況。洗錢的資金去了哪里？通過對上半年典型安全事件的整體分析，洗錢的主要流程發生在 ETH 鏈或 BTC 鏈，如果資金沒有在這兩條鏈上，黑客也會考慮將資金跨鏈到這兩條鏈進一步變現。通過對典型安全事件被盜資金的 ETH 和 BTC 流向進行分析，得到 ETH/BTC 資金流向圖，能夠初步評估出洗錢資金的態勢。(1)ETH 資金流向圖9（典型安全事件 ETH 資金流向圖）（典型安全事件 ETH 資金流向比例餅圖）根據典型安全事件 ETH 資金流向圖，74.6%洗錢資金流向 Tornado.Cash，資金量高

15、達 300,160ETH；23.7%洗錢資金保留在黑客地址，暫未進一步轉移，資金量為 95,570 ETH；1.5%洗錢資金流向交易平臺，資金量為 6,250 ETH。10(2)BTC 資金洗錢圖（典型安全事件 BTC 資金流向圖）（典型安全事件 BTC 資金流向比例餅圖）根據典型安全事件 BTC 資金流向圖，48.9%洗錢資金流向 ChipMixer，資金量高達 3,460 BTC；36.5%洗錢資金保留在黑客地址，暫未進一步轉移，資金量為 2,586 BTC；6.2%洗錢資金流向11Blender，3.8%洗錢資金流向 CryptoMixer，2.1%洗錢資金流向未知主體，1.3%洗錢資金

16、流向renBTC，0.7%洗錢資金流向 Wasabi Coinjoin，0.1%洗錢資金流向 Binance 交易平臺。二、區塊鏈安全現狀2.1 區塊鏈生態安全概覽2.1.1 公鏈賽道作為區塊鏈行業的基礎設施，公鏈承載了人們對于區塊鏈作為 Web3 底層網絡的期望。隨著一代又一代公鏈的崛起，NFT、DeFi、GameFi、元宇宙等生態熱潮也相繼迎來爆發，同時這些項目也促進了公鏈的發展與價值提升，使多鏈世界從理想走向了現實。據 Footprint Analytics 的數據，截至 6 月累計已收錄的公鏈數量有 119 條，對比 2021 年 6 月收錄的 31 條，同比增長約 284%。（202

17、1 與 2022 年 6 月公鏈數量對比）2.1.1.1 DeFi據 DeFi Llama 數據顯示，6 月 30 日 DeFi 總鎖倉價值為 1432 億美元，其中 ETH 鏈以 945.5 億美元的 TVL（Total Value Locked）占據了資金沉淀的半壁江山，其次是 BSC 鏈的 110.8 億美元。122021 年以來，許多新興公鏈如 Solana、Avalanche 等通過擁抱 DeFi 快速發展鏈上生態，也吸引了大量用戶和資金沉淀。6 月 30 日 Solana TVL 為 26.4 億美元，同比增長 77%；Avalanche TVL 為55.4 億美元，同比增長 96

18、%。（2022 上半年 DeFi TVL）根據 SlowMist Hacked 統計，截至 6 月 30 日 DeFi 安全事件約 100 起，損失超 16.3 億美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨鏈橋上發生的安全事件數量分別為 47起、29 起、8 起、5 起、2 起、1 起、7 起，所造成損失分別為 1.4 億美元、3.08 億美元、5491 萬美元、6383 萬美元、1310 萬美元、830 萬美元、10.43 億美元。13（2022 上半年 DeFi 安全事件分布）2.1.1.2 NFT隨著一批頭部 NFT 項目的崛起和各路

19、名人的參與，NFT 極速發展。根據Dune Analytics 的數據，OpenSea 的交易量在 1 月份達到上半年最高峰 2.84 億美元，而隨著加密貨幣市場的變化，OpenSea 在 6 月份的交易量只有 1558 萬美元，下滑 94%。在 NFT 的熱潮中，目前以太坊生態的NFT 在市值和交易量依舊占據市場的主流，交易量超 90%。除了以太坊外，從近 30 天交易量和近 7 天交易量這些短期數據來看，Solana，Flow 等生態的 NFT 也正在快速發展，且表現亮眼，多鏈時代距離我們越來越近。14（2022 上半年 OpenSea 交易量變化圖）根據 SlowMist Hacked

20、不完全統計，截至 6 月 30 日 NFT 賽道安全事件約 48起，損失超 6281 萬美元。其中 33.4%（16 起）源于項目自身存在的漏洞被攻擊者利用，20.8%（10 起）源于 Rug Pull，而釣魚攻擊占了大部分，占比為 45.8%（22 起），多數都是由于 Discord/Twitter 等媒體平臺被黑后黑客發布釣魚鏈接。（2022 上半年 NFT 攻擊事件原因分布圖）15根據 TRM Labs 發布的 報告，在 5、6 兩個月，由 TRM Labs 社區主導的詐騙報告平臺Chainabuse 收到了超過 100 份關于 Discord 黑客攻擊的報告；自 5 月以來，NFT 社

21、區損失約2200 萬美元；6 月，黑客在被黑的 Discord 中發布 NFT 相關的釣魚攻擊同比增加了 55%。2.1.1.3 跨鏈橋隨著區塊鏈的發展，目前已經進入一個以太坊為核心多鏈并存的局面，鏈與鏈之間的資產轉移、智能合約的跨鏈交互已成為鏈上活動的日常，跨鏈橋作為區塊鏈基礎設施的地位越發凸顯。根據Dune Analytics 數據，截至 6 月 30 日以太坊中 15 個主要跨鏈橋的鎖定總價值（TVL）約 83.9 億美元。目前 TVL 最高的是 Polygon Bridges（35 億美元），排名第二的是 Arbitrum Bridge（18.93 億美元），隨后是 Avalanche

22、 Bridge（12.41 億美元）。（以太坊 15 個主要跨鏈橋的 TVL）由于流動資金量大，去中心化程度低，權限幾乎都掌握在多簽錢包中等特性，跨鏈橋也成了黑客眼中的“香餑餑”。根據 SlowMist Hacked 統計，截至 6 月 30 日跨鏈橋安全事件共7 起，損失高達10.43 億美元，占比 DeFi 上半年總損失的 64%，占比上半年總損失的 53%。值得注意的是上半年損失金額上億美元的事件 4 起中就有 3 起來自跨鏈橋。作為多鏈生態的重要基礎設施，跨鏈橋一方面承擔著巨量的資金流動，為用戶帶來了極大的便利，另一方面在安全性和去中心化水平上面臨許多挑戰，需要項目方提升安全、風控等能

23、力。16（2022 上半年跨鏈橋安全事件）2.1.2 交易平臺加密貨幣行業一直處在監管旋渦中，首當其沖的就是加密貨幣交易平臺。以全球交易量最大的平臺 Binance 為例，自 2021 年來，Binance 已遭到數十個國家和地區的監管警告，包括歐洲、美洲、亞洲在內的多個地區。在全球強力監管信號下，Binance 陸續在西班牙、法國、阿布扎比、迪拜、意大利、巴林等國家或地區獲得了監管許可并進行了注冊，逐步推進其合規化進程。在上半年，全球共發生 4 起交易平臺安全事件，損失超 7770 萬美元，具體如下：1 月 9 日，LCX 技術團隊在 LCX 交易平臺上檢測到一個未經授權的訪問，總共約 79

24、4 萬美元的加密資產被盜。1 月 17 日，C 少數用戶遭到未經授權提款，損失約 3400 萬美元，包括 4,836.26ETH、443.93 BTC 和約 66,200 美元的其他加密貨幣。2 月 8 日，LockBit 勒索軟件團伙稱從加密貨幣交易平臺 PayBito 竊取了大量客戶數據。2 月 12 日，來自美國南達科他州提供自主退休金帳戶的 IRA Financial Trust 對加密交易平臺 Gemini 提起訴訟，指控稱由 Gemini 保管的屬于客戶退休賬戶的 3600 萬美元加密資產被盜。17（2022 上半年交易平臺攻擊事件損失對比圖）建議各大交易平臺健全內部管理與技術機制

25、，通過引入安全審計機制、零信任機制、冷熱資產安全解決方案等來加強對數字資產的安全保障。2.1.3 其他隨著區塊鏈風潮的驟起，其不可避免的也成為網絡黑產眼中的肥肉。不法分子看中了加密貨幣的匿名性，使用非法手段獲取了大量不義之財。區塊鏈已成為網絡黑產的新風口，呈現出越來越明顯的組織化與專業化趨勢，“勒索”、“欺詐”及“盜竊”已成為加密貨幣巨大安全威脅。據 中國人民銀行支付結算司數據，2021 年涉詐款項的支付方式中，利用加密貨幣進行支付僅次于銀行轉賬，排名第二位，高達 7.5 億美元；而 2020 年、2019 年僅為 1.3、0.3 億美元，逐年大幅增長的趨勢明顯。值得關注的是，加密貨幣轉賬在“

26、殺豬盤”詐騙中增長迅速。2021 年“殺豬盤”詐騙資金中 1.39 億美元使用加密貨幣支付，是 2020 年的 5 倍、2019 年的 25 倍。對于機構和企業來說，最好能夠建立全面的網絡安全防護系統，防護從各個層次入侵的網絡安全威脅，并通過威脅感知體系快捷獲取病毒木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報，一旦發生安全威脅能夠及時進行處理。而對于個人用戶來說，遵守以下安全法則及原則，可以避免大部分風險：18兩大安全法則：零信任。簡單來說就是保持懷疑，而且是始終保持懷疑。持續驗證。你要相信，你就必須有能力去驗證你懷疑的點，并把這種能力養成習慣。安全原則：網絡上的知識，凡事都參考至少兩

27、個來源的信息，彼此佐證，始終保持懷疑。做好隔離，也就是雞蛋不要放在一個籃子里。對于存有重要資產的錢包，不做輕易更新，夠用就好。所見即所簽。即你看到的內容就是你預期要簽名的內容，當你簽名發出去后，結果就應該是你預期的，絕不是事后拍斷大腿的。重視系統安全更新，有安全更新就立即行動。不亂下程序。在此，十分推薦閱讀并掌握 區塊鏈黑暗森林自救手冊。2.2 攻擊手法概覽187 起安全事件中，攻擊手法主要分為四類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含 Rug Pull、釣魚攻擊等手法的 Scam；由于私鑰泄露引起的資產損失；前端惡意攻擊，這四種主要攻擊手法占比安全事件總數量的 95%。19（20

28、22 上半年攻擊手法數量對比圖）（2022 上半年攻擊手法損失對比圖）上半年由項目自身設計缺陷和各種合約漏洞引起的攻擊共 92 起，造成損失 10.6 億美元，其中利用閃電貸引起的攻擊有 19 起，造成損失 6133 萬美元。因私鑰被盜引起的資產損失發生率約為4%，損失金額卻達到 7.2 億美元。隨著 Web3 的火熱發展，針對用戶和開發人員的攻擊層出不窮，尤其是針對 Discord、Twitter 等媒體平臺的釣魚攻擊，黑客通常會在獲取到管理員或者賬戶權限后，偽裝成管理員身份并發布釣魚20鏈接。并且這些釣魚網站的制作成本非常低，在對知名 NFT 項目進行 Copy 后，通過贈送、免費等字眼誘

29、導用戶授權，從而轉移用戶資產。而 Rug Pull 則是項目方主動作惡，上半年 Rug Pull 事件已達到 42 起，大部分發生在 BSC 鏈。2.3 典型安全事件此節選取了上半年部分典型安全事件，選取標準為損失較大，發生次數較多，影響范圍較廣及手法較新的事件。2.3.1 Ronin Network 損失超 6.1 億美元3 月 29 日，Axie Infinity 側鏈 Ronin Network 發布 社區預警，Ronin Network 出現安全漏洞，共17.36 萬枚 ETH 和 2550 萬枚 USDC 被盜，損失超 6.1 億美元。據官方發布的信息，攻擊者使用被黑的私鑰來偽造提款

30、，僅通過兩次交易就從 Ronin bridge 中抽走了資金。值得注意的是，黑客事件早在 3 月 23 日就發生了，但官方據稱是在用戶報告無法從 bridge 中提取 5k ETH 后才發現這次攻擊。本次事件的損失甚至高于去年的 PolyNetwork 被黑事件，后者也竊取了超過 6 億美元。事情背景可追溯到去年 11 月，當時 Sky Mavis 請求 Axie DAO 幫助分發免費交易。由于用戶負載巨大，Axie DAO 將 Sky Mavis 列入白名單，允許 Sky Mavis 代表其簽署各種交易，該過程于 12 月停止。但是，對白名單的訪問權限并未被撤銷，這就導致一旦攻擊者獲得了 S

31、ky Mavis 系統的訪問權限，就能夠通過 gas-free RPC 從 Axie DAO 驗證器進行簽名。Sky Mavis 的 Ronin 鏈由九個驗證節點組成，其中至少需要五個簽名來識別存款或提款事件。攻擊者通過 gas-free RPC 節點發現了一個后門，最終攻擊者設法控制了五個私鑰，其中包括 Sky Mavis 的四個 Ronin 驗證器和一個由Axie DAO 運行的第三方驗證器。美國調查機構認為朝鮮黑客組織 LAZARUS GROUP 是此事件的幕后黑手。2.3.2 Wormhole 損失超 3 億美元2 月 3 日，攻擊者利用 Wormhole 網絡中的簽名驗證漏洞在 So

32、lana 上鑄造了 12 萬 WETH，價值超 3.26 億美元。Wormhole 發布針對該事件的報告 中指出，此次事件中 Wormhole 的漏洞具體是Solana 端核心 Wormhole 合約的簽名驗證代碼存在錯誤，允許攻擊者偽造來自“監護人”的消息來鑄造 Wormhole 的 WETH。本次事件是目前針對 Solana 的黑客攻擊中造成的最大損失規模事件。212.3.3 Beanstalk Farms 遭閃電貸和提案攻擊4 月 17 日，基于以太坊的算法穩定幣項目 Beanstalk Farms 遭 攻擊，損失約為 1.82 億美元。本次攻擊的主要原因在于提案的投票與執行兩階段間無時

33、間間隔，導致攻擊者在完成投票后未經社區審核可以直接執行惡意提案。有趣的是，攻擊者將其中 25 萬美元捐贈給了一個用于為烏克蘭政府籌集捐款的地址。2.3.4 Harmony 損失超 1 億美元6 月 24 日，Harmony Horizon bridge 遭到黑客 攻擊。經慢霧 MistTrack 分析，攻擊者獲利超 1 億美元，包括 11 種 ERC20 代幣、13,100 ETH、5,000 BNB 以及 640,000 BUSD。26 日 Harmony 創始人 Stephen Tse 在 Twitter 上表示，Horizon 被攻擊并非因為智能合約漏洞，而是由私鑰泄露導致。雖然 Har

34、mony 對私鑰進行了加密存儲，但攻擊者還是解密了其中部分私鑰并簽名了一些未經授權的交易。2.3.5 Pokemoney 發生 Rug PullBSC 上 NFT 項目 Pokemoney 發生 Rug Pull，約 1.18 萬枚 BNB（約350 萬美元）被提取轉移。PokeMoney 背后的團隊聲稱價格暴跌是由于神秘的黑客攻擊。雖然沒有證據證明黑客入侵，但該項目團隊堅決支持這個說法。他們在 Telegram 上聲稱，由于某種原因，他們無法訪問該項目的Twitter 帳戶，因此無法告知社區有關黑客行為的解釋。2.3.6 C 部分賬戶遭黑客攻擊據 C 調查報告，“2022 年 1 月 17

35、日，C 獲悉少數用戶在其賬戶上未經授權提取了加密貨幣。C 立即暫停所有代幣的提款以啟動調查，并全天候工作以解決該問題。沒有客戶遭受資金損失。在大多數情況下，我們阻止了未經授權的提款，在所有其他情況下，客戶都得到了全額報銷。該事件影響了 483 名 C 用戶。未經授權的提款總額為4,836.26 ETH、443.93 BTC 和約 66,200 美元的其他貨幣?！?.3.7 Uniswap 空投釣魚攻擊7 月 12 日，Binance 創始人 CZ 發推 表示，通過威脅情報在 ETH 區塊鏈上檢測到 Uniswap V3 潛在漏洞。幾個小時后，多名 Twitter 用戶發布消息稱，此次黑客攻擊中

36、轉移資金的交易并無異常，并表示這是一次網絡釣魚攻擊，超過 70,000 個連接到 Uniswap 的地址被空投代幣，空投代幣將用戶鏈接到一個類似于真實 Uniswap 網站的釣魚網站。用戶被誘騙授權合約，從而允許攻擊者控22制其錢包，盜取其加密貨幣和 NFT。其中一個錢包損失了超過 650 萬美元，另一個錢包損失了價值約 168 萬美元的加密貨幣。2.3.8 OpenSea 多名用戶遭郵件釣魚2 月 20 日，全球最大的加密數字藏品市場 OpenSea 遭到 攻擊。根據 OpenSea 官方的推文，黑客在 OpenSea 合約升級的同時，向所有用戶郵箱發送了釣魚郵件，很多用戶誤以為是官方郵件，

37、對錢包進行了授權，導致錢包被盜。2.3.9 ApeCoin 空投閃電貸套利3 月 17 日，根據 Twitter 用戶 Will Sheehan 的 報告，套利機器人通過閃電貸薅羊毛，拿到 6w 多ApeCoin（每個價值 8 美元）。分析發現這和 ApeCoin 的空投機制存在漏洞有關。具體來說，ApeCoin 能否空投取決于某一個用戶是否持有 BYAC NFT 的瞬時狀態，而攻擊者可以通過借入閃電貸來操縱瞬時狀態。攻擊者首先通過閃電貸借入 BYAC Token，接著 redeem 獲得 BYAC NFT，然后使用這些 NFT 來 Claim 空投的 APE，最后將 BYAC NFT min

38、t 獲得的 BYAC Token 用來返還閃電貸。2.3.10 BAYC 官方 Discord 遭攻擊6 月 5 日，BAYC 在官方 推特 表示，其 Discord 服務器被短暫攻擊，價值約 200ETH 的 NFT 被盜。此次攻擊是由于社區管理員的帳戶遭到入侵，黑客冒充管理員身份發布了一個指向釣魚網站的鏈接。2.3.11 FEG 遭兩次閃電貸攻擊5 月 16 日，多鏈 DeFi 協議 FEG 遭到閃電貸 攻擊，攻擊者竊取 144 ETH 和 3,280 BNB，損失約130 萬美元。5 月 17 日，FEG 再次受到攻擊，攻擊者竊取 291 ETH 和 4,343 BNB，損失約 190

39、萬美元，其中 BSC 鏈 130 萬美元，ETH 鏈 60 萬美元。兩次攻擊類似，主要原因是未驗證swapToSwap 函數中 path 地址參數，導致攻擊者可以任意傳入惡意 path 地址，使得 FEGexPRO合約將自身代幣授權給攻擊者。2.3.12 Optimism 因合約漏洞損失 2000 萬枚 OP6 月 9 日，Optimism 與 Wintermute 雙雙發布 公告，向社區披露了一起 2000 萬 OP 代幣丟失的事件。在 OP 代幣發布之時，Optimism 委托 Wintermute 來為 OP 在二級市場上提供流動性服務，23Optimism 將向 Wintermute

40、提供 2000 萬枚 OP 代幣。為了接收這筆代幣，Wintermute 給了Optimism 一個多簽地址，在 Optimism 測試發送了兩筆交易且 Wintermute 確認無誤后，Optimism 將 2000 萬 OP 轉移到了該地址。在 Optimism 轉完幣之后，Wintermute 卻發現自己沒辦法控制這些代幣，因為他們所提供的多簽地址暫時只部署在了以太坊主網上，尚未向 Optimism網絡部署。為了控制這些代幣，Wintermute 立即啟動了補救操作。但已有攻擊者察覺到了這一漏洞，并搶在 Wintermute 之前將該多簽地址部署到了 Optimism 網絡上，成功控制了

41、這 2000 萬代幣。目前 Optimism 黑客已歸還 1700 萬枚 OP 代幣，并向 Vitalik 地址轉入 100 萬枚 OP，而Vitalik 已將此資金歸還。2.3.13 MM.finance 遭 DNS 劫持攻擊5 月 4 日，據官方 發文 稱，MM.finance 網站遭到 DNS 攻擊，攻擊者設法將惡意合約地址注入前端代碼。攻擊者利用 DNS 漏洞修改托管文件中的路由器合約地址，價值 200 萬美元以上的加密貨幣資產被盜，并通過跨鏈橋轉移到 ETH 鏈，隨后通過 Tornado.Cash 洗錢。2.3.14 KLAYswap 遭到惡意前端攻擊2 月 3 日，韓國 DeFi

42、項目 KLAYswap 發布 公告 稱遭黑客攻擊，損失約 22 億韓 元，約合 183 萬美元。公告中稱黑客通過 BGP 劫持篡改 KLAYswap 前端的第三方 JS 鏈接，導致用戶訪問KLAYswap 頁面時被投毒，然后授權資產給黑客錢包地址，最終導致用戶資產被盜，期間共有 325個錢包發生 407 筆異常交易。2.3.15 Terra 生態崩潰5 月 9 日，Terra 生態算法穩定幣 UST 嚴重脫鉤、LUNA 近乎歸零，數百億美元市值一夕蒸發。Luna Foundation Guard(LFG)使用了價值約 35 億美元的比特幣來維持 UST 的價值。但并沒有起作用。最終，在 5 月

43、 12 日，Terra 停止運行。Terra 的崩潰導致了 600 億美元的損失，造成了比特幣價格的拋售壓力效應，并在整個加密資產中產生了恐懼情緒，加劇了行業正在經歷的熊市。三、典型安全事件反洗錢分析關于典型安全事件反洗錢分析，我們將主要討論以下的內容：提出一種針對混幣器（Tornado.Cash 和 ChipMixer）資金轉出的分析方法應用反洗錢分析方法對典型安全事件進行分析243.1 典型安全事件損失概覽根據上文，摘取了上半年部分典型安全事件進行反洗錢分析。事件被盜時間損失統計Ronin Network3 月 23 日173,600 ETH、25,500,000 USDCWormhole

44、2 月 2 日120,000 WETHBeanstalk4 月 17 日24,830 ETH、250,000 USDC 代幣和36,390,000 BEAN 代幣Harmony6 月 23 日ETH 鏈：13,100 ETH、41,200,000USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43WETH 和 5,620,000 FRAXBSC 鏈：5,000 BNB 和 640,000 BUSDC1 月 17 日ETH 鏈：4

45、,836.25 ETHBTC 鏈：443.93 BTCUniswap Phishing7 月 11 日3,278.84 ETH 和 240.42 WBTCApeCoin 空投閃電貸套利3 月 17 日60,564 APEBAYC 官方 Discord 遭攻擊6 月 4 日價值超過 145 個 ETH（25.6 萬美元）的 NFTsFEGToken5 月 15 日、5 月 16 日443.86 ETH 和 7,626.49 BNBOptimism5 月 27 日20,000,000 OP 代幣（17,000,000 OP已歸還）25MM.finance5 月 4 日2,000,000 美元3.2

46、 工具及方法在正式開始反洗錢分析之前，我們首先要有一個高效的工具和一套有效應對復雜洗錢情況的分析方法。3.2.1 基礎工具-MistTrack（MistTrack 反洗錢追蹤系統示例圖）MistTrack 反洗錢追蹤系統 是一套由慢霧科技創建的專注于打擊加密貨幣洗錢活動的 SaaS 系 統，具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。AML Risk Score26MistTrack 反洗錢追蹤系統主要從地址所屬實體、地址歷史交易活動、慢霧惡意錢包地址庫三方面為其計算 AML 風險評分。當地址所屬實體為高風險主體（如混幣平臺）或地址與已知的風險主體存在資金

47、來往時，系統會將該地址標記為風險地址。同時，結合慢霧惡意錢包地址庫中的惡意地址數據集，對已核實的勒索、盜幣、釣魚欺詐等非法行為的涉案地址進行風險標記。Address LabelsMistTrack 反洗錢追蹤系統積累了超 2 億個錢包地址標簽，地址標簽主要包含 3 個分類：(1)它歸屬于什么實體，如 Coinbase、Binance(2)它的鏈上行為特征，如 DeFi 鯨魚、MEV Bot 以及 ENS(3)一些鏈下情報數據，如曾使用過 imToken/MetaMask 錢包Investigations追蹤和識別錢包地址上的加密資產流向，實時監控資金轉移，將鏈上和鏈下信息整合到一個面板中，為司

48、法取證提供強有力的技術支持。27（MistTrack 追蹤分析示例圖）通過標記 1 千多個地址實體、2 億多個地址標簽，10 萬多個威脅情報地址，以及超過 9000 萬個與惡意活動相關的地址，MistTrack 為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特征分析、行為畫像以及追蹤調查，MistTrack 在反洗錢分析評估工作中起到至關重要的作用。3.2.2 拓展方法-數據分析MistTrack 可以滿足常見的反洗錢分析場景，而遇到復雜特殊的情況就需要其他的方法輔助分析。從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生后，在 ETH/BSC 鏈上的資金都不約而同的

49、流向了一片灰暗之地Tornado.Cash，Tornado.Cash 已成為 ETH/BSC 鏈上反洗錢的主戰場。新的洗錢手法需要新的分析方法，對 Tornado.Cash 轉出分析的需求變得越來越普遍，此處我們將提出一個針對 Tornado.Cash 資金轉出的分析方法。28記錄目前已知的信息，已知信息包括轉入 Tornado.Cash 總數，第一筆 Tornado.Cash 存款時間，第一筆 Tornado.Cash 存款的區塊高度。將參數填入我們準備的 分析面板。得到初步的 Tornado.Cash 提款數據結果，再使用特征分類的方式對數據結果做進一步篩選。篩選后的結果是一批疑似黑客轉出

50、的結果集，取概率最高的結果集并對它進行驗證。Tornado.Cash 轉出分析結論。（Dune Dashboard-Tornado.Cash 轉出分析）通過這個 Tornado.Cash 資金轉出的分析方法，我們已成功分析出 Ronin Network 等多個安全事件從 Tornado.Cash 轉出后的資金詳情。顯而易見，這個 Tornado.Cash 資金轉出的分析方法同樣存在局限性：轉入 Tornado.Cash 的數量分類也是一個匿名集，資金量越大相應的匿名集數量越少，資金量越小則相反。所以對于資金量小的分析難度更大。而在 BTC 鏈上，通過區塊鏈反洗錢資金態勢我們可以看到 ChipM

51、ixer 和 Blender 是黑客的常用洗錢平臺。Blender 目前已被美國財政部制裁，站點已不可用，這里不再做進一步的探討。ChipMixer 流入洗錢資金量巨大，我們同樣需要提出一個針對 ChipMixer 資金轉出的分析方法。29識別 ChipMixer 的提款特征。輸入地址類型輸出地址類型輸入數額特征版本鎖定時間bech32(bc1q.)bech32(bc1q.)所有的輸入數額都滿足 Chips(即 0.001*2的 n 次方，n 14)的要求2區塊高度-1/區塊高度-2/區塊高度-3根據上述提款特征對相應時間段的結構化區塊數據進行掃描和篩選，得到這個時間段內ChipMixer 的

52、提款記錄。對提款記錄數據歸類結果集，取概率最高的結果集并對它進行驗證。ChipMixer 轉出分析結論。3.3 反洗錢分析詳述3.3.1 Ronin Network黑客地址：0 x098B716B8Aaf21512996dC57EB0615e2383E2f96（ETH 鏈）被盜時間：3 月 23 日損失統計：173,600 ETH、25,500,000 USDC攻擊手續費來源：SimpleSwap資金轉移：30（Ronin Bridge Exploiter 資金轉移時間線）ETH 資金轉移黑客將攻擊獲利的 25,500,000 USDC 兌換為了 8,562.6801 ETH，所以黑客需要洗幣

53、的總額為182,163.737 ETH（Binance 提款 1.0569 ETH+攻擊所得 173,600 ETH+攻擊兌換 USDC 所得8,562.6801 ETH）。31（Ronin Bridge Exploiter 資金轉移圖）32黑客獲利資金流向主體詳情如下表：主體流向資金Tornado.Cash175,100 ETHHuobi5,028.9951 ETHFTX1,219.9827 ETHC1 ETHBalance667.3916 ETH注：其他未做統計的流向資金為洗幣過程損失。Tornado.Cash 資金轉移黑客總計轉入 Tornado.Cash 175,100 ETH，經過分

54、析，我們得出 Ronin 黑客從 Tornado.Cash 提款符合下列特征：從 Tornado.Cash 轉出后直接或轉移一層后使用 1inch 或 Uniswap 兌換為 renBTC，通過 renBTC跨鏈到 BTC 鏈。通過 Dune Analytics，我們將符合上述特征的 Tornado.Cash 提款和跨鏈到 BTC 鏈的數據篩選出來，并進行有效的 可視化展示，如下圖：33（Ronin 黑客從 Tornado.Cash 轉出后通過 renBTC 跨鏈數據）根據上面的分析圖，得到 Tornado.Cash 轉出資金情況如下表：流向流向資金通過 renBTC 跨鏈到 BTC 鏈112

55、,800 ETH在 Tornado.Cash 中的余額62,300 ETH注：數據有效時間截止于 7 月 20 日。BTC 資金轉移根據對 Tornado.Cash 資金轉移的分析，我們得到符合特征的共計 8,075.9329 BTC 的資金跨鏈到BTC 鏈。其中的 6,191.2542 BTC 經過分析確認與 Ronin 黑客相關，再加上從 Huobi 和 FTX 提款的 439.7818 BTC，確認共計 6,631.036 BTC 為 Ronin 黑客所屬資金。此部分資金的進一步轉移情況如下表：34主體流向資金ChipMixer3460.6845 BTCBlender439.7818 B

56、TCWasabi Coinjoin55.1448 BTCrenBTC95.6871 BTCCoinbase0.5632 BTCChangeHero0.488 BTCBinance12.0973 BTCWirex0.0399 BTCKuna0.0384 BTCAny.Cash0.0676 BTCUnknown153.0143 BTCBalance2413.4292 BTC合計6631.036 BTC注：0.1 BTC 以下轉移額不做統計。ChipMixer 資金轉移根據 BTC 資金轉移可以看到 3460.6845 BTC 轉移到了 ChipMixer，通過對 BTC 鏈上數據監控以及對 Chi

57、pMixer 的提款數據進行分析，識別出 Ronin 黑客從 ChipMixer 共計提款 2,871.03 BTC。此部分資金的進一步轉移情況如下表：主體流向資金Blender1356.0 BTC35Wasabi Coinjoin9.8365 BTCChipMixer547.7938 BTCUnKnown681.4247 BTCBalance235.4739 BTC注：0.1 BTC 以下轉移額不做統計。3.3.2 Wormhole黑客地址：CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka(Solana)被盜時間：2 月 2 日損失統計：120,000

58、 WETH攻擊手續費來源：Tornado.Cash資金轉移：（Wormhole Network Exploiter 資金轉移時間線）WETH 資金轉移36流向流向資金跨鏈到 ETH 鏈93,750 WETH兌換為 SOL26,250 WETH黑客地址余額地址余額CxegPrfn2ge5dNiQberUrQJkHCcimeR4VXkeawcFBBka432,661.15 SOL0 x629e7da20197a5429d30da36e77d06cdf796b71a93,750.623 ETH3.3.3 Beanstalk黑客地址：0 x1c5dCdd006EA78a7E4783f9e6021C32

59、935a10fb4（ETH 鏈）被盜時間：4 月 17 日損失統計：24,830 ETH、250,000 USDC 代幣和 36,390,000 BEAN 代幣攻擊手續費來源：Tornado.Cash資金轉移：37（Beanstalk Flashloan Exploiter 資金轉移時間線）ETH 資金轉移38（Beanstalk Flashloan Exploiter ETH 資金轉移圖）ETH 的資金轉移如下表：流向流向資金Tornado.Cash24849.1 ETH注：轉移資金中包括攻擊手續費剩余資金。3.3.4 Harmony黑客地址：390 x0d043128146654C7683

60、Fbf30ac98D7B2285DeD00（ETH 鏈）0 x0d043128146654C7683Fbf30ac98D7B2285DeD00（BSC 鏈）被盜時間：6 月 23 日損失統計：（ETH 鏈）13,100 ETH、41,200,000 USDC、592 WBTC、9,981,000 USDT、6,070,000 DAI、5,530,000 BUSD、84,620,000 AAG、110,000 FXS、415,000 SUSHI、990 AAVE、43 WETH 和5,620,000 FRAX（BSC 鏈）5,000 BNB 和 640,000 BUSD攻擊手續費來源：無資金轉移

61、：（Horizon Bridge Exploiter 資金轉移時間線）ETH 資金轉移40（Horizon Bridge Exploiter ETH 資金轉移圖）ETH 資金轉移表：流向流向資金Tornado.Cash85,700 ETHBalance201.2094 ETHTornado.Cash 資金轉移黑客總計轉入 85,700 ETH 到 Tornado.Cash，經過分析，我們得出 Harmony 黑客的 Tornado.Cash提款符合下列特征：從 Tornado.Cash 的分批提款，每個提款地址的提款次數相對固定，主要提款次數是 5 和6，即提款 5*100 ETH 或 6*1

62、00 ETH 到提款地址。從 Tornado.Cash 提款后，長達一個月未發生進一步轉移。41根據上述的 Tornado.Cash 提款特征，共計發現了黑客 83,300 ETH 的提款，從 Tornado.Cash 轉出資金情況如下表：流向流向資金Balance83,300 ETH3.3.5 C黑客地址：0 x6e1218c55f1aCb588Fc5E55B721f1183D7D29D3d（ETH 鏈）bc1qk8wlwypvvr6v5lmsngg5a248k2a9cgrsrw5jsq（BTC 鏈）bc1q83c9e7s8925hhy9dzqpdyyfctgwaspj3wdrhqr（BTC

63、 鏈）bc1qk7e2k8s252789cggr5xy67m6jvc0jsqpdjfw9d（BTC 鏈）bc1qnzn9wmt40qwuhd7zmqvmvd0c3zazv59ljplrnr（BTC 鏈）bc1qy7hf94vv20jqez2fk8xyxuv0h0u8r0kh8cau46（BTC 鏈）被盜時間：1 月 17 日、1 月 18 日損失統計：（ETH 鏈）4,836.2596 ETH、（BTC 鏈）443.9322 BTC攻擊手續費來源：無資金轉移：（C Hacker 資金轉移時間線）42ETH 資金轉移（C Hacker ETH 資金轉移圖）ETH 資金轉移表：流向流向資金43To

64、rnado.Cash4,830 ETHBalance1.1692 ETHBTC 資金轉移BTC 資金轉移表：流向流向資金CryptoMixer271 BTCBalance172.9322 BTC3.3.6 Uniswap Phishing黑客地址：0 x09b5027ef3a3b7332ee90321e558bad9c4447afa（ETH 鏈）被盜時間：7 月 11 日損失統計：3,278.8477 ETH、240.42 WBTC攻擊手續費來源：Tornado.Cash資金轉移：（Uniswap Phishing Hacker 資金轉移時間線）ETH 資金轉移44黑客在洗錢的過程中通過 Un

65、iswap 將 240.42 WBTC 兌換為 4,295.0041 ETH，洗錢的 ETH 資金共計 7,573.8518 ETH。（Uniswap Phishing Hacker ETH 資金轉移圖）ETH 資金轉移表：45流向流向資金Tornado.Cash7,561 ETHBalance9.46 ETH3.3.7 ApeCoin 空投閃電貸套利黑客地址：0 x6703741e913a30d6604481472b6d81f3da45e6e8（ETH 鏈）被盜時間：3 月 17 日損失統計：60,564 APE攻擊手續費來源：FTX資金轉移：（ApeCoin Airdrop Flashlo

66、an Exploiter 資金轉移時間線）ETH 資金轉移46（ApeCoin Airdrop Flashloan Exploiter ETH 資金轉移圖）ETH 資金轉移表：流向流向資金Balance459 ETH注：轉移資金中包括攻擊手續費剩余資金。3.3.8 BAYC 官方 Discord 遭攻擊黑客地址：0 x1079061d37f7f3fd3295e4aad02ece4a3f20de2d（ETH 鏈）被盜時間：6 月 4 日損失統計：價值超過 145 個 ETH（25.6 萬美元）的 NFTs47攻擊手續費來源：從其他個人地址轉入資金轉移：（BAYC Discord Phishing

67、 Exploiter 資金轉移時間線）ETH 資金轉移ETH 資金轉移表：流向流向資金Tornado.Cash153 ETH3.3.9 FEGToken此節將 5 月 15 日攻擊的黑客稱為黑客 1，將 5 月 16 日攻擊的黑客稱為黑客 2。黑客地址：0 x73b359d5da488eb2e97990619976f2f004e9ff7c（黑客 1，ETH/BSC 鏈）、0 xf99e5f80486426e7d3e3921269ffee9c2da258e2（黑客 2，ETH/BSC 鏈）被盜時間：5 月 15 日、5 月 16 日損失統計：（黑客 1，ETH 鏈）143.9125 ETH、（黑

68、客 1，BSC 鏈）3,280.2738 BNB、（黑客 2，ETH 鏈）299.9566 ETH、（黑客 2，BSC 鏈）4,346.223 BNB48攻擊手續費來源：Tornado.Cash資金轉移：（FEGToken Exploiter 資金轉移時間線）兩次黑客攻擊的關聯性分析根據以下鏈上痕跡分析：兩個黑客攻擊手法不相同。黑客 1 重復調用攻擊合約獲利。黑客 2 單次調用攻擊合約大額獲利。兩個黑客洗錢手法不相同。黑客 1 將全部獲利資金轉入 Tornado.Cash。黑客 2 將大額資金轉入 Tornado.Cash，將剩余資金轉入 ChangeNOW。兩個黑客攻擊/洗錢時間存在明顯差別

69、。49黑客 1 攻擊時間在 5 月 15 日，洗錢時間在 5 月 20 日（BSC 鏈）和 7 月 3 日（ETH鏈）。黑客 2 攻擊時間在 5 月 16 日，洗錢時間在 5 月 16 日。黑客 1 資金轉移（FEGToken Exploiter 1 BSC 資金轉移圖）50（FEGToken Exploiter 1 ETH 資金轉移圖）資金轉移表：鏈流向流向資金BSCTornado.Cash3,277.8 BNBETHTornado.Cash144.8 ETH黑客 1 BSC 鏈 Tornado.Cash 資金轉移在 BSC 鏈，黑客總計轉入 3,277.8 BNB 到 Tornado.Ca

70、sh，經過分析，我們得出 FEGToken 黑客 1的 Tornado.Cash 提款符合下列特征：每次以 25/50 BNB 的數量通過 PancakeSwap/1inch 兌換為 BSC 鏈上的 ETH 代幣，后通過 AnySwap 跨鏈到 ETH 鏈。轉移到 ETH 鏈上長時間不做進一步轉移。根據上述的轉出特征，共計發現了黑客共計 3,273 BNB 數額的提款，黑客 1 于 BSC 鏈Tornado.Cash 轉出資金情況如下表：流向流向資金51Tornado.Cash56.5 ETHBalance476.9591 ETH注：BSC 鏈上的資金都已通過 AnySwap 兌換成 ETH

71、在 ETH 鏈。黑客 2 資金轉移（FEGToken Exploiter 2 BSC 資金轉移圖）52（FEGToken Exploiter 2 ETH 資金轉移圖）資金轉移表：鏈流向流向資金BSCTornado.Cash4,200 BNBBSCChangeNOW90.9 BNBETHTornado.Cash300 ETH3.3.10 Optimism黑客地址：0 x60B28637879B5a09D21B68040020FFbf7dbA5107（Optimism 鏈）被盜時間：6 月 5 日損失統計：20,000,000 OP 代幣攻擊手續費來源：Tornado.Cash資金轉移：53（Wi

72、ntermute/OP Exploiter 資金轉移時間線）OP 代幣資金轉移資金轉移表：流向流向資金歸還 Optimism 基金會17,000,000 OPVitalik Buterin（后歸還 Optimism 基金會）1,000,000 OP通過 Hop Protocol 和 Synapse 跨鏈到 ETH 鏈1,000,000 OPBalance1,000,000 OP54ETH 資金轉移（Wintermute/OP Exploiter ETH 資金轉移圖）資金轉移表：流向流向資金Tornado.Cash723 ETHBalance5.8744 ETH注：轉移資金中包括攻擊手續費剩余資

73、金。3.3.11 MM.finance黑客地址：0 xb3065fe2125c413e973829108f23e872e1db9a6b（Cronos 鏈）55被盜時間：5 月 4 日損失統計：2,000,000 美元攻擊手續費來源：OKX資金轉移：（MMFinance Exploiter 資金轉移時間線）ETH 資金轉移56（MMFinance Exploiter ETH 資金轉移圖）資金轉移表：流向流向資金Tornado.Cash743 ETH57四、總結以上就是本次慢霧科技對區塊鏈 2022 上半年安全事件及反洗錢情況的分析?？偟膩碚f，分為以下兩點：1、區塊鏈安全事件層出不窮，攻擊手法多樣

74、根據統計，2022 上半年安全事件共 187 件，損失高達 19.76 億美元。DeFi 安全事件就占了 53%（約 100 起），似乎已成為黑客的提款機。而在其中，影響力最大、被盜金額最高的項目幾乎都集中在跨鏈橋?？珂湗蛸Y金量巨大、過于中心化，也因此成了黑客覬覦的目標。在上半年資產損失上億的四起事件中，跨鏈橋領域就占了三起，分別是 Ronin Network、Wormhole、Harmony。上半年常見攻擊手法主要分為四類：由項目自身設計缺陷和各種合約漏洞引起的攻擊；包含 RugPull、釣魚攻擊等手法的 Scam；由于私鑰泄露引起的資產損失；前端惡意攻擊。尤其是隨著 Web3蓬勃發展，針對

75、 NFT 的釣魚攻擊手法花樣百出，主要集中在針對 Discord/Twitter 等媒體平臺被黑客攻擊后發布釣魚鏈接，用戶一定要仔細辨別。2、區塊鏈典型安全事件與反洗錢分析本報告對一些損失較大、發生次數較多、影響范圍較廣及攻擊手法較新的安全事件進行了列舉，包含被盜損失、攻擊手法簡述以及影響范圍。接著，使用 MistTrack 基礎分析工具對 11 起典型安全事件展開了反洗錢分析，通過反洗錢分析清晰闡述“攻擊手續費來源是什么”、“錢去了哪里”的問題，并創造性的提出了一種數據分析方法來分析 Tornado.Cash 和 ChipMixer 的提款。在此過程中，我們發現洗錢流程集中在 ETH 鏈和

76、BTC 鏈上進行。ETH 鏈，74.6%資金轉移到Tornado.Cash 以躲避追蹤分析；BTC 鏈，48.9%的資金轉移到 ChipMixer 以躲避追蹤分析。BTC 鏈是特大型安全事件以及與 LAZARUS GROUP 黑客組織有關的事件洗錢的選擇，因為相比較ETH 鏈而言，BTC 鏈更具有匿名性、更多的混幣工具選擇，并且 LAZARUS GROUP 黑客組織在BTC 鏈上洗錢更富有經驗且更精通流程，這些有利于洗錢過程的順利進行。58五、免責聲明本報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫 SlowMist Hacked 以及反洗錢追蹤系統 MistTrack 的數據支持。

77、但由于區塊鏈的“匿名”特性，我們在此并不能保證所有數據的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時，本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處，歡迎大家批評指正。59六、關于我們慢霧科技(SlowMist)是一家專注區塊鏈生態安全的公司，成立于 2018 年 01 月，由一支擁有十多年一線網絡安全攻防實戰的團隊創建，團隊成員曾打造了擁有世界級影響力的安全工程。慢霧科技已經是國際化的區塊鏈安全頭部公司，主要通過“威脅發現到威脅防御一體化因地制宜的安全解決方案”服務了全球許多頭部或知名的項目，已有商業客戶上千家，客戶分布在十幾個主要國家與地區

78、。慢霧科技積極參與了區塊鏈安全行標、國標及國際標準的推進工作，是國內首批進入工信部2018 年中國區塊鏈產業白皮書的單位，是粵港澳大灣區“區塊鏈與網絡安全技術聯合實驗室”的三家成員單位之一，成立不到兩年就獲得國家高新技術企業認定。慢霧科技也是國家級數字文創規范治理生態矩陣首批協作發展伙伴。慢霧科技的安全解決方案包括：安全審計、威脅情報(BTI)、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢(AML)、假充值漏洞掃描、漏洞監測(Vulpush)、被黑檔案庫(SlowMistHacked)、智能合約防火墻(FireWall.X)等 SAAS 型安全產品?；诔墒煊行У陌踩占鞍踩a品

79、，慢霧科技聯動國際頂級的安全公司，如 Akamai、BitDefender、FireEye、天際友盟、IPIP 等及海內外加密貨幣知名項目方、司法鑒定、公安單位等，從威脅發現到威脅防御上提供了一體化因地制宜的安全解決方案。慢霧科技在行業內曾獨立發現并公布數多起通用高風險的區塊鏈安全漏洞，得到業界的廣泛關注與認可。給區塊鏈生態帶來安全感是慢霧科技努力的方向。60慢霧科技安全解決方案安全服務交易平臺安全審計超越滲透測試的私鑰安全、業務安全等全方位的黑盒加灰盒安全審計錢包安全審計超越滲透測試的私鑰安全、業務安全等全方位的黑盒加灰盒安全審計鏈安全審計針對區塊鏈資金安全、共識安全等關鍵模塊進行全方位的安

80、全審計智能合約安全審計針對智能合約相關源碼進行全方位的白盒安全審計聯盟鏈安全解決方案從安全設計到安全審計再到安全監控及管理全周期進行聯盟鏈安全保障紅隊測試(Red Teaming)超越滲透測試，針對人員、業務、辦公等真實脆弱點進行攻擊評估安全監測覆蓋所有可能漏洞的動態安全監測體系，提供持續的、全方位的安全保障區塊鏈威脅情報通過威脅情報整合，構建一個鏈上鏈下安全治理一體化的聯合防御體系漏洞賞金設定業務范圍和獎勵標準，引入全球白帽黑客進行持續性的漏洞挖掘61防御部署慢霧精選：因地制宜且體系化的防御方案、實施冷溫熱錢包安全加固等安全顧問全年性持續指導先導性安全體系建設工作，安全成為基建，防御先人一步Hacking Time每年一屆聚焦于區塊鏈安全的閉門培訓和主題峰會數字資產安全解決案GitHub 上持續開源開放“數字資產安全解決方案”，這是一件非常有益的事，歡迎貢獻安全產品慢霧 AML阻攔洗幣，規避風險MistTrack面向 C 端用戶的加密貨幣追蹤分析平臺漏洞監測 Vulpush實時掌握第一手安全漏洞情報被黑檔案庫區塊鏈攻擊事件一網打盡假充值漏洞掃描器交易平臺安全充提的保障利器62官網https:/Twitterhttps:/