攻击者战斗迅速！超过 9000 万美元从 Liquid 中被盗，由去中心化工具详细解释

2021 年 8 月 19 日，日本交易所 Liquid 的热钱包价值超过 9000 万美元的加密资产被盗。 据PeckShield统计，其中包括：约480万美元的BTC（107.43枚）、3250万美元的ETH、4490万美元的ERC-20代币（近百种代币：AAVE、UNI、LINK、SNX、USDC）、1.83美元百万个 TRON（包括 USDT-TRON 和 2,393,334.86 个 TRON），1290 万美元的 XRP（11,467,479 个）。

根据PeckShield旗下的反洗钱态势感知系统CoinHolmes，ETH代币至今未发生变化，仍锁定在攻击者地址中。

攻击者得逞后，首先将ERC-20代币快速转移到UniSwap、SushiSwap、1inch等DEX（去中心化交易所），将获得的近百个代币通过DEX或Ren跨链桥转换为ETH BTC，再将兑换的ETH通过跨链桥转到以太坊，最后从链上混币器Tornado.cash中流出。 整个过程非常熟练。 可以看到硬币。

由于部分被盗的ERC-20代币流动性差，很容易被发行方冻结、交易回滚或硬分叉等情况阻塞，攻击者先将这些代币转移到不需要KYC、不需要注册登录的DEX中in，然后用去，然后把大部分代币转换成主流代币ETH，并池化到一个新的地址，然后从隐私协议Tornado.cash中流出。

从Etherscan可以看出，8月19日凌晨4点19分开始，攻击者开启了一场“价值至上”的扫荡交易所，先开始清算USDT、USDC、DAI等稳定币，然后抢着清零当令牌被销毁时。 在冻结之前将它们转移到 DEX。

这是迄今为止发生的第二起中心化机构被盗并通过去中心化机构洗钱的安全事件。 据PeckShield统计，中心化机构被盗后通过去中心化服务洗钱的案例屈指可数，但类似的洗钱方式已经被DeFi Protocols（去中心化协议）攻击并跑路，呈上升趋势.

啄盾

新兴的洗钱三部曲

攻击者得逞后，洗钱过程大致分为三步：

1. 批量转账：将被盗的ERC-20资产转入DEX，避免被冻结回滚，同时整合被盗资产，为下一步清洗做准备；

2、批量兑换：通过DEXs或跨链桥将ERC-20代币兑换成ETH或BTC，并通过跨链桥放置加密资产，为批量转入隐私协议做准备；

3、隐蔽阶段：将分配的ETH或BTC转移到Tornado Cash、Typhoon、Wasabi Wallet等混币工具中，混淆资产来源和最终受益人，抹去非法资产痕迹，混淆资产来源逃逸追踪。

Tornado Cash 是基于零知识证明在以太坊上实现的隐私交易中间件。 它使用zk-SNARK（零知识简洁非交互式知识论证）以不可追踪的方式将ETH和ERC20代币（目前支持DAI、cDAI、USDC、USDT、WBTC）发送到任何地址。

在实际应用中，当用户将加密货币存入隐私池时，可以获得一张存单，然后用户可以通过存单将之前存入的加密货币提取到任意地址。 由于存单生成和使用过程中传输的数据不包括存单本身，因此可以保证充提两次传输是完全独立的。 另外，由于中继服务的存在，提现时的以太坊地址甚至不需要有ETH支付转账手续费，即可以提现到一个完全空白的地址。

事实上，Tornado Cash 并不是一个牢不可破的隐私协议。 前段时间，英国警方破获的DeFi协议StableMagnet Finance跑路案反映，在安全公司、交易所、社区和警方的通力合作下，通过CoinHolmes反洗钱态势感知系统持续追踪攻击者资产，和项目在社区不断收集当事人信息并积极配合警方的情况下，警方可以通过分析跟踪社区反馈的线索，并在现场目击者的帮助下，确定涉案相关成员，强制涉案相关成员归还存储在Tornado Cash中的ETH。

据CoinHolmes追踪，攻击者分四批向其地址转入超过1000万个XRP，然后分三批转入Binance、Huobi、Poloniex等交易所。

Liquid通过反洗钱态势系统追踪到此信息后，紧急联系这些中心化机构将攻击者地址列入黑名单，以紧急冻结被盗的XRP资产。

但在此之前，攻击者已经通过交易所将一些XRP兑换成了BTC。 根据CoinHolmes反洗钱情况系统，这些XRP已经兑换成192个BTC，通过去中心化混币器Wasabi钱包流出。

Wasabi Wallet 使用“CoinJoin”方式将多个用户的交易聚合为一笔大交易，其中包括多个输入（input）和输出（output）。 随着参与用户数量的增长，隐私性和可靠性变得更强。 此外，Wasabi 钱包还使用“块过滤器”通过下载整个数据块来进一步打乱交易信息，以增强隐私性和抗审查性，这使得相关执法机构难以追踪此类资金的流向。

随着监管部门对中心化机构洗钱情况的严格监管，中心化机构不断提高KYC要求，对中心化洗钱渠道造成沉重打击。 去中心化的工具越来越受到不法分子的青睐，越来越多的非法资金开始转向去中心化的洗钱渠道。 PeckShield建议相关执法机构引入新的监管工具和技术usdt混币usdt混币，进一步有效遏制利用虚拟货币进行的洗钱活动。

截至9月6日，CoinHolmes监测到攻击者BTC地址的变化，共转出90个BTC。 CoinHolmes将持续监控被盗加密资产的转移情况。