《慢霧科技：2024上半年區塊鏈安全與反洗錢報告（35頁）.pdf》由會員分享，可在線閱讀，更多相關《慢霧科技：2024上半年區塊鏈安全與反洗錢報告（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、目錄一、前言2二、區塊鏈安全態勢22.1 區塊鏈安全事件總覽22.2 釣魚/盜竊手法72.2.1 相同首尾號釣魚72.2.2 惡意擴展程序82.2.3 惡意木馬程序102.2.4 惡意書簽釣魚142.2.5 簽名授權釣魚16三、反洗錢態勢183.1 反洗錢與監管動態183.1.1 中國法院183.1.2 中國香港183.1.3 新加坡193.1.4 美國監管193.1.5 歐洲議會213.1.6 中東地區213.2 安全事件反洗錢223.2.1 資金凍結數據223.2.2 資金歸還數據223.3 黑客團伙畫像及動態223.3.1 Lazarus Group223.3.2 Drainers233

2、.4 洗錢工具273.4.1 Tornado Cash273.4.2 eXch28四、總結28五、免責聲明29六、關于我們301一、前言2024 上半年，加密貨幣市場取得了重大進展，尤其是美國證券交易委員會（SEC）出乎意料地修改規則，允許創建現貨以太坊交易所交易基金（ETF）。另一方面，監管機構繼續集中發力于加密貨幣行業，對加密貨幣交易所及其部分高調高管進行了打擊，包括前 FTX 首席執行官 SBF 的親密盟友。在監管政策方面，隨著監管機構和公眾對于加密貨幣及其背后的區塊鏈科技的理解不斷加深，各國在這個領域的政策態度出現了明顯的不同。這些態度大體上可被劃分為：積極擁護、模糊不定和嚴格禁止三種

3、。雖然各國對于加密貨幣的態度不一，但毫無疑問，2024 上半年所產生的政策趨勢標志著加密市場正處在合規化的進程中。與此同時，許多新興趨勢和主題正在涌現，加密貨幣用戶和 Web3 開發者數量不斷飛速增長，AI 模型逐漸變得完善。據 CoinMarketCap 的數據顯示，截至 6 月 30 日，全球加密貨幣市場的總市值已經達到了約 2.34 萬億美元，這也充分展示了全球區塊鏈市場的增長勢頭越發強勁有力。在此背景下，本報告重點關注區塊鏈生態系統安全和反洗錢（AML）安全兩大方面：第一部分概述了 2024 上半年區塊鏈的安全狀況以及上半年常見的網絡釣魚/盜竊技術；第二部分回顧了反洗錢監管動態，分析了

4、黑客團體和洗錢工具的活動，并提供了上半年安全事件凍結和歸還資金的統計數據，由此探討區塊鏈生態的反洗錢情況，讓大家對當前和未來區塊鏈的安全風險有一個全面認識。二、區塊鏈安全態勢2.1 區塊鏈安全事件總覽根據慢霧區塊鏈被黑事件檔案庫(SlowMist Hacked)的不完全統計，2024 上半年安全事件共 223件，損失高達 14.3 億美元。對比 2023 上半年（共 185 件，損失約 9.2 億美元），損失同比上升55.43%。（注：本報告未將個人損失納入統計）2(https:/hacked.slowmist.io/)從生態來看，Ethereum 損失最高，達 4 億美元。其次是 Arbit

5、rum，約 7246 萬美元，再者為 Blast，約 7000 萬美元。此外，BSC 安全事件最多，達 57 件，損失約 3212 萬美元。(2024 上半年各生態安全事件分布及損失)3值得注意的是，隨著 Solana 在 2024 年迅猛崛起，其生態上的安全事件也明顯增多。例如 5 月 16日，基于 Solana 的代幣啟動器 pump.fun 遭遇閃電貸攻擊，攻擊者將價值 8000 萬美元的資產隨機空投至 Slerf、Stacc、Saga 等持有者地址。pump.fun 表示，攻擊是因為某位前員工利用其在公司的特權非法獲取了提款權限，借助借貸協議實施了閃電貸攻擊，在其 bonding cu

6、rve 合約的4500 萬美元流動性中，只有約 190 萬美元受到影響。5 月 19 日，推特用戶 The Rollup 稱，pump.fun 攻擊者 STACCoverflow 在倫敦被英國執法部門逮捕并拘留，隨后被保釋，其真實名稱或為 Jarett Reginald Dunn。從項目賽道來看，DeFi 是最常受到攻擊的領域。2024 上半年 DeFi 類型安全事件共 158 件，占事件總數的 70.85%，損失高達 6.59 億美元，對比 2023 上半年（共 111 件，損失約 4.8 億美元），損失同比上升 37.29%。4(2023 上半年和 2024 上半年 DeFi 安全事件分布

7、及損失對比圖)其次是交易平臺上的安全事件損失高達 5.24 億美元，其中 DMM Bitcoin 事件就占據了 3.05 億美元，該事件也是 2024 上半年損失最大的安全事件。5 月 31 日，日本加密貨幣交易所 DMMBitcoin 表示，其官方錢包中的 4502.9 BTC 被非法轉移，造成價值約 482 億日元（3.05 億美元）的損失。日本金融廳的一名代表表示已根據支付服務法向 DMM Bitcoin 發出報告請求令，要求其提供失竊原因報告和客戶賠償計劃。DMM Bitcoin 表示目前共計籌集 550 億日元（約 3.54 億美元），用于賠償用戶的、與被盜數量等值的比特幣已于 6

8、月 14 日完成采購，且關于此次被盜事件的原因仍在調查中。據了解，DMM Bitcoin 安全事件的損失金額在加密貨幣黑客攻擊史上排名第七，是自 2022 年 12 月以來最大的一次攻擊。同時，此前日本曾發生過兩起重大加密貨幣交易所黑客攻擊事件，即 2014 年的 Mt.Gox 事件和 2018 年的 Coincheck 事件，被盜金額分別為 4.5 億美元和 5.34 億美元。此次 DMM Bitcoin 攻擊事件價值成為日本第三大此類案件。5從損失情況來看，有兩起事件的損失規模達到上億美元，以下為 2024 上半年損失 Top 10 的安全攻擊事件：(2024 上半年損失 Top10 的安

9、全攻擊事件)6從安全事件原因來看，合約漏洞事件最多，達 56 件，損失約 1.04 億美元。其次為跑路導致的安全事件，達 50 件。2024 上半年損失第二大的 PlayDapp 事件，則是由于私鑰泄露。2 月 10 日，基于以太坊的游戲平臺 PlayDapp 表示由于私鑰泄露遭受攻擊，攻擊者未經授權鑄造了 2 億枚 PLA 代幣（價值 3650 萬美元）。事件發生后不久，PlayDapp 通過鏈上交易向攻擊者發送消息，要求歸還被盜資金并提供 100 萬美元白帽獎勵，談判失??；2 月 12 日黑客又鑄造了 15.9 億枚 PLA 代幣（2.539 億美元），并將資金分散到多個鏈上地址和交易平臺

10、。(2024 上半年安全事件手法圖)2.2 釣魚/盜竊手法此小節摘取了慢霧 SlowMist 于 2024 上半年披露的部分釣魚和盜竊手法。2.2.1 相同首尾號釣魚2024 年 5 月 3 日，據 Web3 反詐騙平臺 Scam Sniffer 的監測，一名大額資產持有者（“巨鯨”）遭遇了相同首尾號地址釣魚攻擊，被釣走 1155 枚 WBTC，價值約 7000 萬美元。這位受害者以 700 萬7美元即可讓攻擊者安穩生活為由，而 7000 萬美元的巨額贓款將可能為其帶來無盡的麻煩，試圖說服對方，且受害者多次通過鏈上信息向攻擊者傳達讓其保留 10%的贓款，希望剩下 90%能歸還的意愿。初期，攻擊

11、者并無反應，幾天后突然轉了 51 個 ETH 給受害者，并讓受害者留下Telegram 號，最終攻擊者將資產全部歸還。相同首尾號釣魚攻擊手法已經存在很長一段時間，但此次事件的損失數額實在巨大。一般來說，攻擊者會提前批量生成大量釣魚地址、分布式部署批量程序，瞄準交易規模較大或頻率較高的用戶，一旦這些用戶發生轉賬，黑客會立即使用碰撞出來的釣魚地址不斷往用戶地址空投小額資金（例如 0.01 USDT、0.001 USDT、0 ETH 等），利用攻擊者地址首尾數和用戶地址首尾數幾乎一樣的特點向目標轉賬地址發起釣魚攻擊，對用戶的交易記錄進行污染。由于用戶習慣從錢包歷史記錄里復制最近轉賬信息，且一般只會注

12、意首尾幾位數字，稍有不慎就可能導致資產損失。建議用戶將常用轉賬地址保存到錢包的地址簿當中，下次轉賬可以從錢包的地址簿中找到，同時開啟錢包的小額過濾功能，屏蔽此類惡意轉賬，減少被釣魚風險?？偟膩碚f，由于區塊鏈技術是不可篡改的，鏈上操作是不可逆的，所以在進行任何操作前，務必仔細核對地址，對于此類突然出現的轉賬記錄，用戶必須保持警惕，不可因一時貪圖小利而忽視風險。2.2.2 惡意擴展程序 2024 年 3 月 1 日，有推特用戶反饋其賬戶存在異常情況，損失了 100 萬美元，但未引起公眾的關注。5 月，有網友懷疑受害者可能安裝了一個有高度評價的惡意擴展程序（暫未與受害者直接核實此信息），它可以竊取用

13、戶訪問的網站上的所有 cookies，并且有人付錢給一些有影響力的人來推廣它。由于 Google 已經下架了該惡意擴展，我們只能通過快照信息中的歷史數據進行調查。在測試過程中，我們發現該擴展程序中潛藏了一些可疑的惡意代碼，測試過程中 cookies 被發送到了外部服務器，這就導致攻擊者拿到用戶認證、憑證等信息，在一些交易網站進行對敲攻擊，盜竊用戶的加密資產。8Chrome 擴展（Chrome Extension）是為 Google Chrome 設計的插件，用于增強瀏覽器的功能并優化用戶體驗。它們一般由 HTML、CSS、JavaScript 以及其他網頁技術構建，通常包括基本信息配置文件 m

14、anifest.json，背景腳本，內容腳本，及用戶界面等部分。Chrome 擴展的應用覆蓋各類瀏覽場景，例如廣告攔截 uBlock Origin、隱私與安全工具 LastPass、生產力工具 Todoist、開發者工具 React Developer Tools 及 加密貨幣工具 MetaMask 等，為我們的工作和生活提供了許多便利。然而，Chrome 擴展在獲取特定功能所需的權限后，可能訪問用戶敏感數據，如 cookies 和認證信息等。這一點在使用惡意的 Chrome 擴展時尤其明顯，惡意擴展可利用已請求的權限直接訪問和操作用戶的瀏覽器環境和數據。例如，通過廣泛的權限訪問，操作網絡請求

15、、讀取和寫入頁面內9容、訪問瀏覽器存儲、操作剪貼板以及偽裝成合法網站等方式，盜取用戶的權限和認證信息。如果惡意擴展盜取了 cookies，它可能會訪問賬戶、更改賬戶設置、提取資金，甚至冒充用戶進行社會工程攻擊。面對這一情況，用戶可能會產生諸如斷網或者更換設備等極端想法。然而，事實上我們可以采取更合理的方式防范風險：對于個人用戶，建議只安裝來自可信來源的擴展，安裝不同的瀏覽器以隔離插件和交易資金，安裝殺毒軟件（如卡巴斯基、Bitdefender、AVG）并定期檢查設備，提高對于 Chrome 擴展權限請求的審慎性，以保護自身信息與資金安全；對于交易平臺，可以全局啟用二次驗證(2FA)并采取多種驗

16、證方式，如短信、郵件、Google Authenticator 和硬件令牌，及時向用戶發送有關賬戶登錄、密碼更改、資金提取等重要操作的通知，提供緊急情況下用戶可以快速凍結賬戶的選項。同時，使用機器學習和大數據分析監控用戶行為，識別異常交易模式和賬戶活動，對頻繁更改賬戶信息、頻繁嘗試登錄失敗等可疑行為進行預警和限制。還可以通過各渠道向用戶普及安全知識，提示用戶注意瀏覽器擴展的風險和如何保護賬戶，提供官方的瀏覽器插件或擴展，幫助用戶增強賬戶安全。2.2.3 惡意木馬程序惡意木馬程序也是加密貨幣領域一種頻繁出現的威脅，攻擊者通常將木馬程序偽裝成其他類型的程序或者文件來欺騙用戶下載和安裝，一旦入侵用戶

17、的電腦或移動設備，就會在后臺運行并進行各種惡意活動。例如，許多騙子以“尋找兼職翻譯、知名媒體記者采訪、偽裝成投資人提出合作”等為誘餌，騙取用戶信任，并讓用戶下載所謂的可即時翻譯的會議軟件。然而，這個“會議軟件”實際上就是一個木馬程序。利用 Whois 查看其域名信息，往往會發現這個軟件的“官網”是近期新注冊的，再深入挖掘，可能會發現該域名 IP 過去有被標記為惡意的記錄。一旦用戶下載了這個“會議軟件”，它會掃描用戶電腦上的文件，然后過濾包含 Wallet、Key 等關鍵詞的文件上傳到攻擊者遠端控制的服務器，達到盜取加密貨幣的目的。一般來說，在線殺毒軟件能分析的文件大小約 50 M，PC 端殺毒

18、軟件能分析的文件大小約 500 M，有些木馬文件巨大就是為了躲避殺毒軟件的查殺，這些木馬大多以每月 100 美元的價格被提供給犯罪分子，而木馬創建者輕松入賬。10據受害者反饋，有些騙子會以更巧妙的方式誘騙用戶下載他們的釣魚軟件，如冠以“游戲測試”之名，設立看起來很真實的網站和全套白皮書，讓用戶下載游戲去體驗和了解他們的公司產品，而這些“游戲”其實也是惡意程序。一不小心下載到鏈游木馬，不論用戶的電腦里有什么，木馬都可以悄無聲息地盜走，包括用戶的錢包密碼和本地文件，甚至還可能盜取用戶瀏覽器中保存的各種賬號權限、系統信息等個人隱私。11除此之外，利用通訊平臺如 Telegram 傳播木馬的可能性較高

19、。許多來自第三方的漢化版 APP，暗藏著釣魚和后臺木馬的威脅，隨意使用可能會引發電腦遭受病毒或木馬的侵襲。例如受害者在收到其他人發送過來的錢包地址想要進行轉賬操作時，受害者在復制粘貼過程中，被感染的設備會將剪貼板上的地址更改為攻擊者的地址，導致轉賬到攻擊者的地址，造成資金損失。此外，部分木馬程序甚至會記錄用戶的鍵盤輸入行為，以獲取用戶的密碼和私鑰信息。12一旦遭遇木馬攻擊，應該立即斷開網絡連接，進一步阻止木馬的活動；及時轉移資金并更新各種在線賬戶和應用的權限設置；同時下載知名殺毒軟件進行查殺，清除可能潛伏在你的設備上的惡意程序，必要時可以重置系統。為了避免遭遇木馬風險，需要采取一些主動防御措施

20、，例如重視安13全更新，保持操作系統和你使用的安全軟件始終處在最新狀態；不要下載來源不明的文件、程序或點擊來源不明的電子郵件、鏈接。對于大額的資產，嘗試使用硬件錢包進行管理存儲，這是一種更安全的方式；同時，定期備份和更新加密貨幣錢包是非常必要的。2.2.4 惡意書簽釣魚現行的瀏覽器均配有自帶的書簽管理器功能，其便利性無庸置疑。然而，這一便利性也可能成為黑客利用的工具。讓你將精心構造惡意的釣魚頁面添加至書簽中，這些頁面中可能含有惡意JavaScript 代碼。當您點擊該書簽時，它會在當前瀏覽器標簽頁的域下執行。例如，當 Discord 用戶點擊時，惡意 JavaScript 代碼就會在用戶所在的

21、 Discord 域內執行，盜取 Discord Token，如果攻擊者獲得項目方的 Discord Token 就可以直接自動化接管項目方的 Discord 賬戶相關權限，發布釣魚鏈接，造成用戶資金損失。理論上，瀏覽器是有同源策略等防護策略的，若操作不是Discord 產生的，Discord 的頁面上不應有任何響應，但惡意書簽卻能繞過這個限制，導致用戶的Token 和個人信息被發送到黑客的頻道，權限一并失效。14以一個具體事件為例，受害者是去中心化社交平臺 Friend.tech 用戶，黑客冒充為知名媒體記者，并在推特上擁有上萬粉絲。黑客以采訪為由接觸受害者（一個 KOL），并在采訪結束后向

22、他發送了一個含有惡意程序的釣魚網頁，讓他填寫資料。填寫好資料后，受害者點擊 Verify，這時網頁提示出現錯誤，盜幣者便引導受害者在 Google Chrome 里將 Verify 鏈接加到書簽，讓受害者打開Friend.tech 后再點擊該書簽。按照這個操作，頁面上彈出要求受害者輸入密碼的驗證框。最終，受害者的 Friend.tech 帳戶及相關資金被盜，共計損失約 14.2 ETH。受害者在被盜后立即公開了遭遇，并尋求我們的幫助。我們追蹤發現資金轉到了一個平臺，并立即聯系該平臺進行臨時凍結風控。該平臺表示在 72 小時內需要執法單位介入，否則無法繼續凍結不法資金。在多方努力和協助下，受害者

23、完成報案，并進入到與刑事局、檢察官合作，向法院聲請扣押裁定的流程。歷經三個半月，受害者最終成功取回被盜資金。此案例具有特殊意義。受害者在意識到自己被詐騙后立即公開遭遇并聯系了我們，我們在 6 小時內及時跟進并使用鏈上反洗錢追蹤平臺 MistTrack 進行分析，得出結果后迅速聯系相關平臺凍結了被盜資金。此案成為了一個里程碑，它或許是臺灣司法歷史上第一起沒有嫌疑人信息、沒有被告身份的情況下，僅通過區塊鏈追蹤分析證明非法資金流向與加密貨幣資產所有者，幫助執法機構進行凍結、扣押，并最后將資金返還給受害者的案件。作為用戶，關鍵點在于盡管 Web 上有很多的擴展看起來非常友好和靈15活，但書簽不能阻止網

24、絡請求，在用戶手動觸發執行的那一刻，仍需要注意任何添加操作和代碼都可能是惡意的，始終對一切保持懷疑。2.2.5 簽名授權釣魚簽名是資金安全的重災區，“簽名釣魚”目前已成為威脅用戶資產安全的主要攻擊手段。此小節主要介紹種類繁雜的簽名釣魚方式中最常見的三種：Approve 是存在于 ERC-20 代幣標準中的常見授權方法。它授權第三方（如智能合約）在代幣持有者的名義下花費一定數量的代幣。用戶需要預先為某個智能合約授權一定數量的代幣，此后，該合約便可在任何時間調用 transferFrom 功能轉移這些代幣。如果用戶不慎為惡意合約授權，這些被授權的代幣可能會被立刻轉移。值得注意的是，受害者錢包地址中

25、可以看到 Approve 的授權痕跡。16Permit 是基于 ERC-20 標準引入的擴展授權方式，通過消息簽名來授權第三方花費代幣，而非直接調用智能合約。簡單來說，用戶可以通過簽名來批準他人轉移自己的 Token。黑客可以利用這種方法來進行攻擊，例如，他們可以建立一個釣魚網站，將登錄錢包的按鈕替換為 Permit，從而輕易地獲取到用戶的簽名。Permit2 并非 ERC-20 的標準功能，而是由 Uniswap 為了用戶便利性而推出的一種特性。此功能讓 Uniswap 的用戶在使用過程中只需要支付一次 Gas 費用。然而，需要注意的是，如果你曾使用過 Uniswap，并且你向合約授權了無限

26、額度，那么你可能會成為 Permit2 釣魚攻擊的目標。Permit 和 Permit2 是離線簽名方式，受害者錢包地址無需支付 Gas，釣魚者錢包地址會提供授權上鏈操作，因此，這兩種簽名的授權痕跡只能在釣魚者的錢包地址中看到。17鑒于簽名釣魚攻擊的嚴重性和復雜性，我們建議用戶務必對簽名過程保持警惕，確保每一次簽名操作的安全性。同時，要定期檢查自身錢包地址的授權痕跡，不定時使用 Revoke.cash，ScamSniffer 等工具查看是否有異常授權并及時取消，避免資金損失。三、反洗錢態勢3.1 反洗錢與監管動態此小節將重點介紹加密貨幣領域反洗錢（AML）與監管動態的重大進展。3.1.1 中國

27、法院2024 年上半年中國大陸法院共計有 163 個關于虛擬幣的判決，其中刑事判決 121 起，民事判決42 起。3.1.2 中國香港香港，作為全球金融和科技創新的重要樞紐，其在虛擬資產領域的政策動向對整個行業具有深遠的影響。2024 年香港虛擬資產監管迎來了全面合規的新階段。182 月 8 日，香港政府就設立虛擬資產場外交易服務（OTC）提供者發牌制度的立法建議展開公眾咨詢。比如根據立法建議書，所有虛擬資產場外交易服務，不論是通過線下實體店（包括自動柜員機）還是線上網站服務都必須獲得香港海關頒發的相關牌照。3 月 12 日，香港金融管理局推出穩定幣開發和發行的監管沙盒，遵循 2022 年開始

28、的討論文件。沙盒旨在鼓勵在受控環境中安全開發穩定幣，監管決策可以根據需要進行迭代。4 月 15 日，中國公募基金旗下香港子公司博時國際、華夏基金（香港）、嘉實國際發行虛擬資產現貨 ETF 產品已獲得香港證監會原則上批準。4 月 30 日，6 支香港首批發行的虛擬資產現貨 ETF 正式在香港交易所敲鐘上市，并開放交易，成為亞洲首批虛擬資產現貨 ETF。3.1.3 新加坡1 月 18 日，新加坡金管局發言人表示，新加坡散戶投資者可參與的集體投資計劃（collectiveinvestment schemes，簡稱 CIS）受證券及期貨法令監管，涵蓋 ETF。他們可投資的資產類型受限。目前，比特幣和其

29、他數碼支付代幣（加密貨幣）（DPT）不屬于零售 CIS 的合格資產。4 月 2 日，新加坡金融管理局（MAS）對支付服務法案（PS Act）及其附屬立法進行了修訂，擴大了MAS 監管的支付服務范圍，并對數字支付代幣（DPT）服務提供商施加了用戶保護和金融穩定性相關的要求。修訂內容包括：規范 DPT 的托管服務、DPT 之間的傳輸及兌換的便利化，以及跨國匯款服務的規范化；賦予 MAS 權力對 DPT 服務提供商施加與反洗錢、反恐融資、用戶保護和金融穩定性相關的要求；并設置過渡安排，要求相關實體在規定時間內向 MAS 通報并提交許可申請。3.1.4 美國監管SEC1.SEC 訴 TradeStat

30、ion Crypto,Inc.案：位于佛羅里達州普蘭泰申的 TradeStation Crypto,Inc.因未能注冊其加密借貸產品的發行和銷售，遭 SEC 指控。該產品允許美國投資者存入或購買加密資產以獲得承諾的利息。TradeStation 同意支付 150 萬美元的罰款以解決這些指控，體現了 SEC 監管加密借貸產品的承諾。192.SEC 訴 Sewell 及 Rockwell Capital Management LLC 案：Brian Sewell 及其公司 RockwellCapital Management 就針對 Sewell 在線加密交易課程“美國比特幣學院”學生的欺詐指控達

31、成和解。該欺詐計劃使 15 名學生損失了 120 萬美元，體現了 SEC 保護教育環境免受欺詐性投資計劃侵害的努力。3.SEC 訴 Lee 等人案：Xue Lee（又名 Sam Lee）和 Brenda Chunga（又名 Bitcoin Beautee）因參與加密資產龐氏騙局 HyperFund 而受到指控，該騙局從全球投資者那里籌集了超過 17 億美元。此案凸顯了 SEC 打擊利用投資者信任、承諾不切實際回報的大規模國際欺詐行為的行動。4.比特幣現貨 ETF：2024 年 1 月 10 日，SEC 批準了幾種現貨比特幣交易所交易產品（ETP）股票的上市和交易，此前的一項法院裁決批評了之前的

32、不批準行為。主席 Gary Gensler 強調，此次批準僅限于比特幣 ETP，確保它們提供充分的信息披露，并在防止欺詐的受監管交易所上交易。SEC 將執行現有的投資者保護標準，并密切監控合規情況。Gensler 還對比特幣的投機性和風險性提出警告，建議投資者保持謹慎。OFAC1.美國財政部制裁逃避制裁的俄羅斯實體：2024 年 3 月 25 日，美國財政部外國資產控制辦公室（OFAC）制裁了 13 家實體和 2 名個人，原因是他們在俄羅斯通過虛擬資產服務和技術采購協助規避美國制裁。其中包括五個由之前被指認者控制的實體。這些指認是繼七國集團（G7）在二月份承諾打擊逃避制裁行為后作出的，針對的是

33、在俄羅斯對烏克蘭的戰爭中支持俄羅斯金融基礎設施的公司。值得注意的是，莫斯科的金融科技公司如 B-Crypto、Masterchain 和 Laitkhaus 等，因為俄羅斯金融機構提供交易便利而被指認。制裁將封鎖所有被指認者在美國的財產，并禁止美國與他們進行交易。此外，幫助俄羅斯軍事工業基地的外國金融機構也可能受到制裁。這一行動旨在遏制俄羅斯利用替代支付機制和虛擬資產來規避制裁和資助軍事活動。2.美國制裁俄羅斯 LockBit 勒索軟件集團關聯方：2024 年 2 月 20 日，美國對俄羅斯 LockBit 勒索軟件集團的關聯方進行了制裁，將數名個人列入 OFAC 的特別指定國民（SDN）名單

34、中。關鍵人物包括 Ivan Gennadievich Kondratiev，他有多個別名并與多個數字貨幣地址關聯，以及 ArturRavilevich Sungatov，他也與多個電子郵件地址和數字貨幣地址關聯。這些制裁是為應對網絡威脅和執行與烏克蘭/俄羅斯相關的制裁法規而采取的部分持續努力。203.美國制裁網絡犯罪組織 911 S5 僵尸網絡：2024 年 5 月 28 日，美國制裁了一個與 911 S5 僵尸網絡有關的網絡犯罪網絡，將若干個人和實體列入外國資產管制處的特別指定國民（SDN）名單。主要人物包括劉景平和王云禾，他們都持有多個數字貨幣地址，并與新加坡、泰國和中國的多個地點有關聯。

35、Lily Suites Company Limited、Spicy Code Company Limited 和 Tulip Biz PattayaGroup Company Limited 等實體也被指認。這些行動是打擊網絡犯罪和執行制裁法規更廣泛努力的一部分。3.1.5 歐洲議會歐盟2024 年 4 月 24 日，歐洲議會通過了加強打擊洗錢和恐怖主義融資的新法律。主要措施：包括公眾可以訪問過去五年的受益所有權登記信息；歐盟范圍內的現金支付限額為 10,000 歐元；從 2029年起加強對金融實體和足球俱樂部的盡職調查；在法蘭克福設立一個新的機構 反洗錢局（AMLA），負責監督高風險實體并確

36、保合規。這些法律旨在提高透明度，賦予金融情報機構權力，并對金融交易實施更嚴格的監管。3.1.6 中東地區土耳其2024 年 6 月 27 日，土耳其議會通過了一項法案，對加密資產實施嚴格監管。未經授權的加密服務提供商將面臨 3 至 5 年的監禁。資本市場委員會（SPK）將負責這些提供商的授權和監管，確保其符合既定標準。嚴重的處罰包括對挪用或濫用資源者判處最高 22 年的監禁。平臺必須遵守透明、公平的市場慣例，并維護交易的安全記錄。與銀行相關的活動必須獲得銀行監管和監督局(BDDK)的批準。綜上，由于加密貨幣本身的復雜性，監管政策成為了一個包含金融穩定、消費者保護以及反洗錢等多個層面的復雜討論。

37、隨著加密貨幣市場的不斷發展，健全的監管框架和國際合作對于應對其挑戰變得越來越重要。213.2 安全事件反洗錢3.2.1 資金凍結數據Tether：2024 上半年，共有 374 個 ETH 地址被風控，這些地址上的 USDT-ERC20 資產被凍結，不可轉移。Circle：2024 上半年，共有 28 個 ETH 地址被封鎖，這些地址上的 USDC-ERC20 資金被凍結，不可轉移。在慢霧 InMist Lab 威脅情報合作網絡的大力支持下，2024 上半年 SlowMist 協助客戶、合作伙伴及公開被黑事件凍結資金約 2439 萬美元。3.2.2 資金歸還數據2024 上半年，遭受攻擊后仍能

38、全部或部分收回損失資金的事件共有 16 起。在這 16 起事件中，被盜資金總計約 1.13 億美元，其中將近 9864 萬美元被返還，占被盜資金的 87.3%。3.3 黑客團伙畫像及動態3.3.1 Lazarus Group2024 年，臭名昭著的朝鮮黑客組織 Lazarus Group 仍在加密貨幣相關的洗錢活動中扮演重要角色。根據最新統計數據，Lazarus Group 對大部分資金流入加密貨幣混合服務商 Tornado Cash 負有責任。作案手法Lazarus Group 將大量資金存入 Tornado Cash 以掩蓋其資金來源，然后采用多層次混合策略進一步逃避偵查。下面是他們其中一

39、種方法的詳細示例，這種方法通常以 BTC 為目標，因為 BTC 有巨大的流動性池，使得洗錢更容易。1.在 Tornado Cash 初步混合：資金首先被存入 Tornado Cash，后與其他用戶的資金混合，以切斷交易線索并匿名化資金來源。222.通過 Thorchain 轉換：將清洗過的資金發到跨鏈流動性協議 Thorchain，資金從以太坊轉換為比特幣，增加了一層混淆。3.分散到各地址：轉換后的比特幣被分散到不同的地址，使交易歷史更加復雜，并分散了資金。4.跨鏈到 TRON：然后資金被跨鏈到 TRON 鏈，利用較低的監管審查進一步混合資產。5.場外交易（OTC）：最后，洗過的資金通過場外交

40、易進一步清洗，使犯罪分子能夠將數字資產轉換為法定貨幣或其他加密貨幣，同時盡量減少 KYC 暴露。新的作案手法隨著新協議的不斷發展，Lazarus Group 采用了越來越復雜的洗錢技術。他們復雜的作案手法涉及多層混合策略和利用各種區塊鏈技術，包括跨鏈和去中心化交易所。使我們的調查更加復雜的是，Lazarus Group 開始利用 tBTC 協議將資金轉移到以太坊，這也給監管機構和金融機構追蹤和攔截非法交易帶來了巨大挑戰。3.3.2 DrainersDrainer 服務（Drain-as-a-Service），是指提供工具和基礎設施，通過網絡釣魚攻擊從受害者錢包中竊取加密貨幣的非法操作。這些服務

41、，例如 Pink Drainer 和 Inferno Drainer，提供全面的網絡釣魚工具包并按傭金制運作，從被盜資金中抽取分成。盡管某些個別服務可能由于財務目標達成或執法壓力而關閉，但新的服務不斷涌現，使加密社區始終面臨威脅。23有效判斷自己是不是 Drainer 服務受害者的一種方法是檢查的轉賬記錄。通常，你的資金會被分配到兩個地址，較小的金額是給 Drainer 服務，而較大的金額則被轉移到詐騙者的地址。1.Pink Drainer：Pink Drainer 在幫助盜取 21,000 多名受害者超過 8,500 萬美元后，最近宣布退出市場。該服務通過提供工具包供騙子使用，以誘騙受害者簽

42、署惡意合約來掏空其錢包。PinkDrainer 聲稱已實現其目標，并承諾安全銷毀所有存儲信息，以防止進一步使用。2.Inferno Drainer：Inferno Drainer 在停止運營前盜取了超過 2 億美元的資產。其運營方式與 PinkDrainer 非常相似。近期，在 Pink Drainer 宣布退出后，Inferno Drainer 宣布將重新投入運營。243.Diablo Drainer：雖然大多數 Drainer 專注于 EVM 鏈，但由于 TON 鏈的流行，我們最近看到Diablo Drainer 對 TON 網絡用戶的攻擊有所增加。這些服務通常使用類似的網絡釣魚策略和惡意

43、合約簽名來掏空加密錢包，它們通常在地下論壇或 Telegram 等加密消息渠道打廣告。254.TON 生態系統中的網絡釣魚活動正如 SlowMist 的創始人 Cos 的推文所說，TON 生態系統中的網絡釣魚活動顯著增加。Telegram的去中心化性質和自由度使其成為作惡者的沃土。釣魚鏈接通過信息群組、空投等誘騙方式釣走用戶的 TON 錢包資產。值得注意的是，類似于手機號碼功能的匿名 Telegram 號碼已經成為創建26Telegram 賬戶的流行方法。然而，越來越多的這些號碼被網絡釣魚。如果被盜用，這些號碼可能導致相關的 Telegram 賬戶丟失，特別是對于那些沒有啟用兩步驗證的用戶來說

44、。這些 Drainer 服務大多數都很隱蔽，運作得就像是普通的商業行為，而實際上它們在從毫無防備的受害者那里竊取資金。隨著新的 Drainer 服務不斷涌現，加密社區必須保持警惕，持續學習最新的網絡釣魚策略，并仔細檢查異常交易。打擊這些復雜騙局的斗爭仍在繼續，提高防范意識是第一道防線。3.4 洗錢工具3.4.1 Tornado Cash(https:/ 年上半年用戶共計存入 263,881 ETH（約 8.58 億美元）到 Tornado Cash，共計從 TornadoCash 提款 246,284 ETH（約 7.96 億美元）。273.4.2 eXchFirst half of 2024

45、(https:/ of 2023(https:/ eXch 的資金明顯大幅度增加。2024 上半年，ETH 存款從 2023 年的 47,235 筆增加到 71,457 筆，ERC20 存款從 25,508,148 筆增加到55,115,833 筆。ERC20 的美元存款量也增加了一倍多，反映了交易量和交易價值的顯著上升。這一趨勢凸顯了作惡者在加密貨幣領域日益增長的活動和潛在威脅。四、總結本報告總結了 2024 上半年區塊鏈行業的關鍵監管合規政策及動態，包括但不限于對加密貨幣的多角度監管立場以及一系列核心的政策調整。為了呈現更全面的行業畫像，我們對 2024 上半年的區塊鏈安全事件和反洗錢趨勢

46、做了回顧和概述，對于部分常見的洗錢工具和釣魚盜竊技巧等進行了解讀，并為這類問題提出了有效的防范方法和應對策略。此外，我們還對主要的釣魚犯罪組織 Wallet Drainers 和黑客團伙 Lazarus Group 進行了披露與分析，以期提供防范此類威脅的參考。希望通過我們的努力，提高區塊鏈行業從業者和用戶的安全意識。28總的來說，我們希望這份報告能為讀者提供一個關于區塊鏈行業安全現狀的剖析和解讀，幫助讀者更全面地了解區塊鏈行業的安全和反洗錢現狀，為推動區塊鏈生態安全的發展貢獻出一份力量。五、免責聲明本報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫 SlowMist Hacked 以

47、及反洗錢追蹤系統 MistTrack 的數據支持。但由于區塊鏈的“匿名”特性，我們在此并不能保證所有數據的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時，本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處，歡迎大家批評指正。29六、關于我們慢霧科技是一家專注區塊鏈生態安全的公司，成立于 2018 年 01 月，由一支擁有十多年一線網絡安全攻防實戰的團隊創建，團隊成員曾打造了擁有世界級影響力的安全工程。慢霧科技已經是國際化的區塊鏈安全頭部公司，主要通過“威脅發現到威脅防御一體化因地制宜的安全解決方案”服務了全球許多頭部或知名的項目，已有商業客戶上千家，

48、客戶分布在十幾個主要國家與地區。慢霧科技積極參與了區塊鏈安全行標、國標及國際標準的推進工作，是國內首批進入工信部2018 年中國區塊鏈產業白皮書的單位，是粵港澳大灣區“區塊鏈與網絡安全技術聯合實驗室”的三家成員單位之一，成立不到兩年就獲得國家高新技術企業認定。慢霧科技也是國家級數字文創規范治理生態矩陣首批協作發展伙伴。慢霧科技的安全解決方案包括：安全審計、威脅情報(BTI)、防御部署等服務并配套有加密貨幣反洗錢(AML)、假充值漏洞掃描、漏洞監測(Vulpush)、被黑檔案庫(SlowMist Hacked)、智能合約防火墻(FireWall.X)等 SaaS 型安全產品?；诔墒煊行У陌踩?/p>

49、務及安全產品，慢霧科技聯動國際頂級的安全公司，如 Akamai、BitDefender、FireEye、RC、天際友盟、IPIP 等及海內外加密貨幣知名項目方、司法鑒定、公安單位等，從威脅發現到威脅防御上提供了一體化因地制宜的安全解決方案。慢霧科技在行業內曾獨立發現并公布數多起通用高風險的區塊鏈安全漏洞，得到業界的廣泛關注與認可。給區塊鏈生態帶來安全感是慢霧科技努力的方向。30慢霧安全解決方案安全服務智能合約安全審計針對智能合約相關項目的源碼及業務邏輯進行全方位的白盒安全審計鏈安全審計針對區塊鏈資金安全、共識安全等關鍵模塊進行全方位的安全審計聯盟鏈安全解決方案從安全設計到安全審計再到安全監控及

50、管理全周期進行聯盟鏈安全保障紅隊測試(Red Teaming)超越滲透測試，針對人員、業務、辦公等真實脆弱點進行攻擊評估安全監測覆蓋所有可能漏洞的動態安全監測體系，提供持續的、全方位的安全保障區塊鏈威脅情報通過威脅情報整合，構建一個鏈上鏈下安全治理一體化的聯合防御體系防御部署慢霧精選：因地制宜且體系化的防御方案、實施冷溫熱錢包安全加固等MistTrack 追蹤服務數字資產不幸被盜，通過 MistTrack 追蹤服務挽回一線希望Hacking Time聚焦區塊鏈生態安全的閉門培訓和主題峰會，打造硬核安全交流氛圍。31安全產品SlowMist AML助力 Web3 行業合規、安全、健康的發展MistTrack面向 C 端用戶的加密貨幣追蹤分析平臺被黑檔案庫區塊鏈攻擊事件一網打盡假充值漏洞掃描器交易平臺安全充提的保障利器32官網https:/Twitterhttps:/