当地时间周二美国司法部发布公告称,它已经查获了价值36亿美元的比特币,这些比特币与2016年加密货币交易所Bitfinex的黑客事件有关。34岁的IlyaLichtenstein和其31岁的妻子HeatherMorgan在纽约被捕,两人被指控共谋和罪。
美国司法部公告称,这是司法部有史以来最大规模的金融扣押,此次调查由IRS-CI华盛顿特区办事处的网络犯罪部门、联邦调查局的芝加哥办事处和国土安全调查局纽约办事处领导,德国安斯巴赫警察局在此次调查期间提供了协助。
事件背景
根据慢雾AML掌握的情报数据分析显示,Bitfinex在2016年8月遭受网络攻击,有2072笔比特币交易在Bitfinex未授权的情况下转出,然后资金分散存储在2072个钱包地址中,统计显示Bitfinex共计损失119,754.8121BTC。事发当时价值约6000万美元,按今天的价格计算,被盗总额约为45亿美元。
慢雾:上周Web3安全事件中总损失约1996.3万美元:金色财经报道,据慢雾区块链被黑档案库统计,2023年8月14日至8月20日,共发生安全事件10起,总损失约1996.3万美元。具体事件:
8月14日,Hexagate发推表示,过去几天单个MEV Bot被利用了约20万美元。以太坊上Zunami Protocol协议遭遇价格操纵攻击,损失1,179个ETH(约220万美元)。
8月15日,以太坊扩容解决方案Metis官方推特账号被盗。Sei Network官方Discord服务器遭入侵。Base生态项目RocketSwap遭遇攻击,攻击者窃取了RCKT代币,将其转换为价值约86.8万美元的ETH并跨链到以太坊。
8月16日,借贷协议SwirlLend团队从Base盗取了约290万美元的加密货币,从Linea盗取了价值170万美元的加密货币。BAYC推出的链上许可申请平台Made by Apes的SaaSy Labs APl存在一个问题,允许访问MBA申请的个人详细信息。
8月18日,DeFi借贷协议Exactly Protocol遭受攻击,损失超7,160枚ETH(约1204万美元)。
8月19日,Cosmos生态跨链稳定币协议Harbor Protocol被利用,损失42,261枚LUNA、1,533枚CMDX、1,571枚stOSMO和18,600万亿枚WMATIC。
8月20日,衍生品市场Thales发布公告称,一名核心贡献者的个人电脑/Metamask遭到黑客攻击,一些充当临时部署者(2.5万美元)或管理员机器人(1万美元)的热钱包已被攻破。[2023/8/21 18:13:42]
慢雾AML曾于2月1日监测到?Bitfinex?被盗资金出现大额异动,后被证实该异动资金正是被司法部扣押了的94,643.2984BTC,约占被盗总额的79%,目前这些资金保管在美国政府的钱包地址
慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。
据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]
bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。
分析 | 慢雾:韩国交易所 Bithumb XRP 钱包也疑似被黑:Twitter 上有消息称 XRP 地址(rLaHMvsPnPbiNQSjAgY8Tf8953jxQo4vnu)被盗 20,000,000 枚 XRP(价值 $6,000,000),通过慢雾安全团队的进一步分析,疑似攻击者地址(rBKRigtRR2N3dQH9cvWpJ44sTtkHiLcxz1)于 UTC 时间 03/29/2019?13:46 新建并激活,此后开始持续 50 分钟的“盗币”行为。此前慢雾安全团队第一时间披露 Bithumb EOS 钱包(g4ydomrxhege)疑似被黑,损失 3,132,672 枚 EOS,且攻击者在持续洗币。更多细节会继续披露。[2019/3/30]
事件梳理
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
慢雾AML根据美国司法部公布的statement_of_facts.pdf文件进行梳理,将此案的关键要点和细节分享如下:
1、美国执法部门通过控制Lichtenstein的云盘账号,获取到了一份写着2000多个钱包地址和对应私钥的文件。该文件中的地址应该就是上文提到的2072个盗币黑客钱包地址,然后美国司法部才有能力扣押并将比特币集中转移到
bc1qazcm763858nkj2dj986etajv6wquslv8uxwczt中。
2、从2017年1月开始,被盗资金才开始转移,其通过剥离链技术,将被盗资金不断拆分、打散,然后进入了7个独立的AlphaBay?平台账号进行混币,使BTC无法被轻易追踪。从结果看,使用AlphaBay进行混币的比特币约为25000BTC。
3、混币后,大部分资金被转入到8个在交易所-1注册的账号,这些账号的邮箱都是用的同一家印度的邮箱服务提供商。除此之外,这8个账号使用过相同的登录IP,并且都是在2016年8月左右注册的。
更为致命的是,在Lichtenstein的云盘里有一份Excel表格,记录着这8个账号的各种信息,而且其中6个账号还被他标记为FROZEN。美国司法部统计发现,交易所-1里的8个账号共冻结着价值18.6万美元的资产。
4、混币后还有部分资金被转入到交易所-2和一家美国的交易所,在这两家交易所上注册的账号,有些也是使用的上文提到的那一家印度的邮箱服务提供商。这些信息也是在上文提到的Lichtenstein的云盘中的Excel表格里发现的。
通过VCE2和VCE4,Lichtenstein夫妇成功把Bitfinex被盗的BTC换成了法币,收入囊中。不过,他们在VCE4上有2个用俄罗斯邮箱注册的账号,因为频繁充值XMR而且无法说明资金来源,导致账号被平台封禁。美国司法部统计发现,上面冻结了价值约15.5万美元的资产。
5、在账号被冻结前,从交易所-1提币的资金,大部分到了另一家美国的交易所。在Bitfinex被盗前的2015年1月13日,Lichtenstein在VCE5交易所上用自己真实的身份和私人邮箱注册了账号并进行了KYC认证。在VCE5交易所上,Lichtenstein用BTC与平台上的商户购买了黄金,并快递到了自己真实的家庭住址。
6、除了前面提到的VCE1、VCE2、VCE4、VCE5这几家交易所被他们用来,Lichtenstein夫妇还注册了VCE7、VCE8、VCE9、VCE10等交易所用来。资金主要都是通过从VCE1提币来的,不过在VCE7-10这些交易所上注册的账号,都是用Lichtenstein夫妇的真实身份和他的公司来做KYC认证的。
美国司法部统计发现,从2017年3月到2021年10月,Lichtenstein夫妇在VCE7上的3个账号共计收到了约290万美元等值的比特币资金。在这些交易所上,Lichtenstein进一步通过买卖altcoins、NFT等方式来,并通过比特币ATM机器进行变现。
链路
事件疑点
从2016年8月Bitfinex被盗,到现在过去了约6年的时间,在这期间美国执法部门是如何进行的深入调查,我们不得而知。通过公布的statement_of_facts.pdf文件内容我们可以发现,Lichtenstein的云盘中存储着大量的账号和细节,相当于一本完美的“账本”,给执法部门认定犯罪事实提供了有力的支撑。
但是回过头全局来看,执法部门是怎么锁定Lichtenstein是嫌疑人的呢?
还有个细节是,美国司法部并没有控诉Lichtenstein夫妇涉嫌非法攻击Bitfinex并盗取资金。
最后一个疑问是,从2016年8月Bitfinex被盗,到2017年1月被盗资金开始转移,这其中的5个月时间发生了什么?真正攻击Bitfinex的盗币黑客又是谁?
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。