En 2023, la industria Web3 experimentó más de 940 incidentes de seguridad, grandes y pequeños, lo que representó un aumento de más del 50% en comparación con 2022, y una pérdida de $1.79 mil millones. Entre ellos, el tercer trimestre tuvo el mayor número de incidentes de seguridad (360 casos) y la mayor pérdida (7.4 mil millones de dólares), y las pérdidas aumentaron un 47% con respecto a 2022. En particular, en julio, ocurrieron 187 incidentes de seguridad, y las pérdidas ascendieron a 350 millones de dólares estadounidenses.

Figura: Número de incidentes de seguridad trimestrales/mensuales para Web 3 2023

Figura: Pérdidas por incidentes de seguridad trimestrales/mensuales de Web 3 2023 (en millones de dólares)

Primero, los ataques de hackers siguen siendo una causa principal de pérdidas significativas. Hubo 216 incidentes de hacking a lo largo de 2023, causando $1.06 mil millones en pérdidas. Las violaciones de contratos, el robo de claves privadas, los ataques de phishing y los hackeos nacionales siguen siendo razones importantes que amenazan la seguridad del ecosistema Web3.

En segundo lugar, los rugpull y el fraude en el tesoro están en aumento. Hubo 250 casos de fraude de rugpull y estafa en 2023, con la ocurrencia más frecuente de tales incidentes en BNBChain. Los proyectos fraudulentos atraen a los inversores a participar publicando proyectos de cripto aparentemente atractivos y proporcionando algo de liquidez falsa. Una vez que se atraen suficientes fondos, de repente se roban todos los fondos y se transfieren los activos. Este tipo de fraude causa graves pérdidas financieras a los inversores y también aumenta enormemente la dificultad para que los inversores elijan el proyecto adecuado.

Además, el ransomware está en tendencia utilizando criptomonedas para cobrar rescates, como Lockbit, Conti, Suncrypt y Monti. Las criptomonedas son más difíciles de rastrear que el dinero fiduciario, y la forma de utilizar herramientas de análisis on-chain para rastrear y localizar bandas de ransomware también está cobrando más importancia.

Finalmente, en actividades criminales como ataques de piratería de criptomonedas y extorsiones fraudulentas, los criminales a menudo necesitan blanquear dinero a través de transferencias de fondos en cadena y OTC después de obtener criptomonedas. El lavado de dinero suele utilizar una combinación de métodos descentralizados y centralizados. Los intercambios centralizados son los lugares más concentrados para el lavado de dinero, seguidos por las plataformas de mezcla de monedas en cadena.

2023 también es un año de desarrollo sustancial en la regulación de Web3. FTX2.0 se reinició, Binance fue sancionado, las direcciones prohibidas de USDT como Hamas, y la SEC aprobó un ETF de Bitcoin spot en enero de 2024. Todos estos eventos emblemáticos indican que la regulación está profundamente involucrada en el desarrollo de Web3.

Este informe llevará a cabo un análisis sistemático de temas clave como el ataque de hacking Web3 de 2023, fraude de Rugpull, ransomware, lavado de dinero de criptomonedas, regulación de Web3, etc., para comprender el panorama de seguridad del desarrollo de la industria de criptomonedas.

1. Lagunas contractuales

Los ataques de vulnerabilidad de contratos ocurrieron principalmente en Ethereum. En la segunda mitad de 2023, se produjeron 36 ataques de vulnerabilidad de contratos en Ethereum, con pérdidas que superaron los 200 millones de dólares estadounidenses, seguidos por BNBChain. En cuanto a los métodos de ataque, las fallas de lógica empresarial y los ataques de préstamos flash siguen siendo los más comunes.

Figura: Incidentes de hackeo trimestrales de Web 3 en 2023 y Pérdidas (en millones de dólares)

Figura: Número y cantidad de exploits de contratos mensuales y ataques de piratería en la Web 3 2023H2

Figura: Número de ataques de explotación de contratos y montos de pérdida por mes en diferentes cadenas Web 3 2023H2

Figura: El número y monto de las pérdidas causadas por la vulnerabilidad del contrato Web 3 2023H2 utilizando métodos de ataque específicos

Análisis típico de eventos: las vulnerabilidades de Vyper hacen que proyectos como Curve y JPEG'd sean atacados

Tomemos el ser atacado en formato JPEG como ejemplo:

Dirección del atacante: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Contrato de atacante: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Transacciones de ataque:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Los atacantes (0x6ec21d18) crearon un contrato 0x466B85B4 y tomaron prestados 80.000 WETH de [Balancer: Vault] a través de préstamos flash.

(2) Los atacantes (0x6ec21d18) agregaron 40,000 WETH al grupo de liquidez peth-ETH-F (0x9848482d) y obtuvieron 32,431 pETH.

(3) Posteriormente, los atacantes (0x6ec21d18) retiraron repetidamente liquidez del grupo de liquidez peth-ETH-F (0x98482D).

(4) Al final, los atacantes (0x6ec21d18) obtuvieron 86,106 WETH, y después de devolver el préstamo flash, obtuvieron un beneficio de 6,106 WETH que salió del mercado.

Análisis de vulnerabilidad: Este ataque es un ataque de reentrada típico. Descompilación del código de bytes del contrato del proyecto atacado. Podemos ver en la siguiente figura: las funciones add_liquidity y remove_liquidity no son iguales al verificar el valor de la ranura de almacenamiento. Usando una ranura de almacenamiento diferente, la cerradura de reentrada puede no funcionar. En este punto, se sospecha que es un error de diseño subyacente de Vyper.

Combinado con el tuit oficial de Curve. En última instancia, el objetivo fue un fallo en la versión Vyper. Esta vulnerabilidad existe en las versiones 0.2.15, 0.2.16 y 0.3.0, y hay un defecto en el diseño del bloqueo de reentrada. Comparamos 0.2.14 y 0.3.0 antes de 0.2.15. Más tarde, en la versión 0.3.1, se descubrió que esta parte del código se estaba actualizando constantemente. Las antiguas versiones 0.2.14 y las más nuevas 0.3.1 no tuvieron este problema.

En el archivo de configuración relacionado con el bloqueo de reentrada data_positions.py correspondiente a Vyper, el valor de storage_slot será sobrescrito. En ret, el slot que primero adquirió el bloqueo es 0, luego cuando la función se llama de nuevo, el slot de bloqueo se incrementará en 1. En este punto, el bloqueo de reentrada expirará.

II. Ataques de phishing

Los ataques de phishing son un tipo de ciberataque diseñado para engañar e inducir a los objetivos a obtener información sensible o inducirlos a realizar acciones maliciosas. Este tipo de ataque suele llevarse a cabo a través de correo electrónico, redes sociales, SMS u otros canales de comunicación. Los atacantes se disfrazan de entidades de confianza, como partes de proyectos, autoridades, KOL, etc., para atraer a las víctimas a proporcionar claves privadas, mnemónicos o autorización de transacciones. Al igual que los ataques de vulnerabilidad de contratos, los ataques de phishing mostraron una alta incidencia y grandes pérdidas en el tercer trimestre. Se produjeron un total de 107 ataques de phishing, de los cuales 58 ocurrieron en julio.

Figura: Número de ataques de phishing y pérdidas por trimestre en la Web 3 2023 (millones de dólares)

Figura: Número de ataques de phishing mensuales en la Web 3 2023

Análisis de transferencias de activos en cadena de ataques de phishing típicos

El 7 de septiembre de 2023, la dirección (0x13e382) fue objeto de un ataque de phishing y perdió más de $24 millones. Los hackers de phishing utilizaron robo de fondos, intercambio de fondos y transferencias descentralizadas de fondos. De los fondos finales perdidos, se transfirieron 3,800 ETH a Tornado.Cash por lotes, 10,000 ETH se transfirieron a una dirección intermedia (0x702350), y 1078,087 DAI permanece en la dirección intermedia (0x4F2F02).

Este es un típico ataque de phishing. Al robar activos de usuarios engañando autorizaciones de billetera o claves privadas, los atacantes han formado una cadena de industria negra de phishing + lavado de dinero. Actualmente, cada vez más bandas de estafadores e incluso hackers nacionales utilizan métodos de phishing para cometer delitos en el campo de Web3, lo que requiere la atención y vigilancia de todos.

Según la plataforma de análisis de datos en cadena de SharkTeam ChainAegis (https://app.chainaegis.com/)En el análisis de seguimiento, analizaremos el proceso de fraude de los típicos ataques de phishing, la transferencia de fondos y el comportamiento en la cadena de los estafadores.

(1) Proceso de ataque de phishing

La dirección de la víctima (0x13e382) otorga rETH y stETH a la dirección del estafador 1 (0x4c10a4) a través de 'Aumentar Asignación'.

La dirección del estafador 1 (0x4c10a4) transfirió 9,579 stETH de la cuenta de la dirección de la víctima (0x13e382) a la dirección del estafador 2 (0x693b72) por un monto de aproximadamente $15.32 millones.

La dirección del estafador 1 (0x4c10a4) transfirió 4,850 rETH de la cuenta de la dirección de la víctima (0x13e382) a la dirección del estafador 2 (0x693b72) por un monto de aproximadamente $8.41 millones.

(2) Intercambio y transferencia de activos

Intercambiar stETH y rETH robados por ETH. A partir de la madrugada del 07-09-2023, la dirección del estafador 2 (0x693b72) realizó múltiples transacciones de intercambio en las plataformas UniSwapV2, UniSwapv3 y Curve respectivamente, intercambiando todos los 9,579 stETH y 4,850 rETH por ETH, obteniendo un total de 14,783.9413 ETH.

intercambio de stETH:

intercambio de rETH:

Intercambiar algo de ETH por DAI. La dirección del estafador 2 (0x693b72) intercambió 1,000 ETH por 1,635,047.761675421713685327 a través de la plataforma UniSwapv3 DAI. Los estafadores utilizaron transferencias de fondos descentralizadas a múltiples direcciones de billetera intermedias, totalizando 1,635,139 DAI y 13,785 ETH. De estos, 1,785 ETH fueron transferidos a una dirección intermedia (0x4F2F02), 2,000 ETH fueron transferidos a una dirección intermedia (0x2ABDC2), y 10,000 ETH fueron transferidos a una dirección intermedia (0x702350). Además, la dirección intermedia (0x4F2F02) recibió 1,635,139 DAI al día siguiente

Transferencia de fondos de la dirección de la billetera intermedia (0x4F2F02):

La dirección ha pasado por una transferencia de fondos escalonada y tiene 1,785 ETH y 1,635,139 DAI. Transferencia descentralizada de fondos DAI, y pequeñas cantidades convertidas a ETH

Primero, los estafadores comenzaron a transferir 529,000 DAI a través de 10 transacciones en la madrugada del 07-09-2023. Posteriormente, los primeros 7 totales de 452,000 DAIs fueron transferidos desde la dirección intermedia a 0x4E5B2E (fixedFloat), el octavo, desde la dirección intermedia a 0x6CC5F6 (OKX), y los últimos 2 totales 77,000 DAIs fueron transferidos desde la dirección intermedia a 0xF1DA17 (exCH).

En segundo lugar, el 10 de septiembre, se intercambiaron 28,052 DAI por 17.3 ETH a través de UniswapV2.

Del 8 al 11 de septiembre se realizaron 18 transacciones y se transfirieron los 1.800 ETH a Tornado.Cash.

Después de la transferencia, la dirección finalmente dejó los fondos robados 1078,087 DAI que no fueron transferidos.

Transferencia de fondos a una dirección intermedia (0x2ABDC2):

La dirección ha sido transferida a través de un nivel de fondos y tiene 2,000 ETH. Primero, la dirección transfirió 2000 ETH a una dirección intermedia (0x71C848) el 11 de septiembre.

La dirección intermedia (0x71C848) luego transfirió fondos a través de dos transferencias de fondos el 11 de septiembre y el 1 de octubre, respectivamente, para un total de 20 transacciones, 100 ETH cada una, totalizando 2000 ETH a Tornado.Cash.

La dirección ha sido transferida a través de una capa de fondos y tiene 10,000 ETH. A partir del 08 de octubre de 2023, 10,000 ETH no ha sido transferido a la cuenta de esta dirección.

Seguimiento de pista de dirección: Después de analizar las transacciones históricas de la dirección del estafador 1 (0x4c10a4) y la dirección del estafador 2 (0x693b72), se descubrió que una dirección EOA (0x846317) transfirió 1.353 ETH a la dirección del estafador 2 (0x693b72), y la fuente de financiamiento para esta dirección EOA involucró las direcciones de billeteras calientes de los intercambios centralizados KuCoin y Binance.

III. Rugpull y fraude

La frecuencia de incidentes de fraude Rugpull en 2023 mostró una tendencia significativamente al alza. El cuarto trimestre alcanzó 73 casos, con un monto de pérdida de US$19 millones, con una pérdida individual promedio de alrededor de US$26,000. El trimestre con la mayor participación en las pérdidas por fraude Rugpull en todo el año fue el segundo trimestre, seguido por el tercero, que representó más del 30% de las pérdidas.

En la segunda mitad de 2023, hubo un total de 139 incidentes de Rugpull y 12 incidentes de fraude, que resultaron en pérdidas de $71.55 millones y $340 millones respectivamente.

Los eventos de Rugpull ocurrieron principalmente en BNBChain en la segunda mitad de 2023, alcanzando 91 veces, lo que representa más del 65%, y pérdidas por un total de $29.57 millones, lo que representa el 41% de las pérdidas. Ethereum (44 veces) fue el siguiente, con una pérdida de $7.39 millones. Además de Ethereum y BNBChain, el incidente de Rugpull de BALD ocurrió en Base Chain en agosto, causando graves pérdidas de $25.6 millones.

Figura: Número de incidentes de Rugpull y estafas y pérdidas por trimestre para Web 3 2023 (millones de dólares)

Figura: Número de incidentes de Rugpull y estafas y pérdidas por mes en la Web 3 2023H2

Figura: Número de incidentes mensuales de Rugpull y montos de pérdida en diferentes cadenas Web 3 2023H2

Análisis de comportamiento de la fábrica de fraudes de Rugpull

Un modelo de fábrica de estafa de alfombra es popular en BNBChain para fabricar en masa tokens de estafa y cometer fraude. Echemos un vistazo al patrón de fraude de la fábrica de Rugpull de los tokens falsos SEI, X, TIP y Blue.

(1) SEI

Primero, el titular falso del token SEI 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 intercambió 249 SEIs falsos por 1U.

Luego, 0x6f9963448071b88fb23fd9971d24a87e5244451A realizó operaciones de compra y venta a granel. Bajo las operaciones de compra y venta, la liquidez del token aumentó notablemente, y el precio también aumentó.

A través de phishing y otros métodos de promoción, se tenta a un gran número de usuarios a comprar. A medida que la liquidez aumenta, el precio del token se duplica.

Cuando el precio del token alcanza cierto valor, el propietario del token entra en el mercado y vende para realizar una operación de Rugpull. Como se puede ver en la imagen a continuación, el período de entrada y el precio de cosecha son todos diferentes.

(2) X falso, TIP falso, azul falso

Primero, los titulares de tokens X, TIP y Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 intercambiaron 1U por el token correspondiente. Luego, al igual que un token falso Sei.

Operaciones de compra y venta al por mayor. Bajo las operaciones de compra y venta, la liquidez aumentó notablemente y los precios subieron.

Luego se promocionó a través de phishing y otros canales para atraer a una gran cantidad de usuarios a realizar compras. A medida que aumentaba la liquidez, el precio del token se duplicó.

Como un SEI falso, cuando el precio del token alcanza un valor determinado, el propietario del token entra en el mercado para vender y realizar una operación de Rugpull. Como se puede ver en la imagen a continuación, el período de cosecha de entrada y el precio son todos diferentes.

El gráfico de fluctuación de los tokens falsos SEI, falsos X, falsos TIP y falsos Blue es el siguiente:

Podemos aprender de la trazabilidad de los fondos y de los patrones de comportamiento:

En el contenido de trazabilidad del fondo, los fondos del creador de la fábrica de monedas y del creador de tokens provienen de múltiples cuentas EOA. También hay transacciones financieras entre diferentes cuentas. Algunos de ellos se transfieren a través de direcciones de phishing, otros se obtienen a través de tokens anteriores de Rugpull, y otros se obtienen a través de plataformas mixtas como Tornado Cash. La transferencia de fondos de diversas maneras tiene como objetivo construir redes financieras complejas e intrincadas. Varias direcciones también han creado múltiples contratos de fábrica de tokens y han producido en masa tokens.

Al analizar el comportamiento del token Rugpull, encontramos la dirección

0x6f9963448071b88fb23fd9971d24a87e5244451a es una de las fuentes de financiamiento. El método de lote también se utiliza para manipular los precios de los tokens. La dirección 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 también actúa como proveedor de fondos, proporcionando fondos correspondientes a varios titulares de tokens.

A través del análisis, se puede ver que detrás de esta serie de actos, hay una banda de fraude Web3 con una clara división del trabajo, formando una cadena industrial negra. Se trata principalmente de la recopilación de puntos calientes, la emisión automática de monedas, el comercio automatizado, la publicidad falsa, los ataques de phishing y la recolección de Rugpull, que se produjeron principalmente en BNBChain. Los tokens Rugpull falsos emitidos están estrechamente relacionados con eventos candentes en la industria y son muy confusos y alentadores. Los usuarios siempre deben estar alerta, ser racionales y evitar pérdidas innecesarias.

IV. Ransomware

La amenaza de los ataques de ransomware en 2023 sigue amenazando a instituciones y empresas todo el tiempo. Los ataques de ransomware son cada vez más sofisticados y los atacantes utilizan una variedad de técnicas para explotar las vulnerabilidades de los sistemas y redes de las organizaciones. La proliferación de ataques de ransomware sigue representando una gran amenaza para las organizaciones empresariales, las personas y las infraestructuras críticas de todo el mundo. Los atacantes están constantemente adaptando y refinando sus estrategias de ataque, utilizando código fuente filtrado, esquemas de ataque inteligentes y lenguajes de programación emergentes para maximizar sus ganancias ilegales.

LockBit, ALPHV/BlackCat y BlackBasta son actualmente las organizaciones de ransomware más activas.

Figura: Número de víctimas de organizaciones de extorsión

Actualmente, cada vez más ransomware utiliza métodos de pago de criptomonedas. Tomemos Lockbit como ejemplo. Empresas recientemente atacadas por Lockbit incluyen TSMC a fines de junio de este año, Boeing en octubre y la filial de propiedad total de Estados Unidos del Banco Industrial y Comercial de China en noviembre. La mayoría de ellas utilizan Bitcoin para cobrar rescates, y LockBit lavará el dinero de las criptomonedas después de recibir el rescate. Analicemos el modelo de lavado de dinero ransomware utilizando Lockbit como ejemplo.

Según el análisis de ChainAegis, el ransomware LockBit utiliza principalmente BTC para cobrar rescates, utilizando diferentes direcciones de pago. Algunas direcciones y cantidades de pago se organizan de la siguiente manera. Los BTC en una sola extorsión oscilaron entre 0.07 y 5.8, con un rango de aproximadamente $2,551 a $211,311.

Figura: Dirección parcial de pago de LockBit y monto de pago

Se realizaron seguimiento de direcciones en cadena y análisis de prevención de lavado de dinero utilizando las dos direcciones con los montos más altos involucrados:

Dirección de recepción de rescate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Dirección del Destinatario del Rescate 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Dirección de colección de rescate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Según el análisis a continuación, la Dirección 1 (1Ptfhw) recibió un total de 17 transacciones en cadena desde el 25 de marzo de 2021 hasta el 15 de mayo de 2021. Después de recibir los fondos, los activos fueron transferidos rápidamente a 13 direcciones intermedias principales. Estas direcciones intermedias son transferidas a través de la capa de financiamiento a 6 direcciones intermedias de segundo nivel, a saber: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4 y 13CPvF… Lpdp.

La dirección intermedia 3fVzPx… cuvH, a través del análisis on-chain, se descubrió que su flujo final hacia la dirección de la web oscura 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P fue descubierto.

La dirección intermedia 13cPVf… Lpdp transfirió una pequeña cantidad de 0.00022 BTC a CoinPayments. Hubo 500 transacciones similares y se recopilaron un total de 0.21 BTC a la dirección de CoinPayments: bc1q3y… 7y88 para lavar dinero utilizando CoinPayments.

Otras direcciones intermedias terminaron fluyendo hacia los intercambios centralizados Binance y Bitfinex.

Figura: Dirección 1 (1Ptfhw... hPEM) Fuentes de Financiamiento y Detalles de Salida

Figura: Seguimiento del flujo de dinero de la dirección 1 (1Ptfhw… hPem)

Figura: Detalles de direcciones intermedias y flujos de dinero involucrados en la dirección 1 (1Ptfhw… hPEM)

Figura: Mapa de transacciones de la dirección 1 (1Ptfhw... hPEM)

(2) Dirección de recibo de extorsión 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

La víctima pagó 4.16 BTC al operador de rescate LockBit en 11 transacciones entre el 24 de mayo de 2021 y el 28 de mayo de 2021. Inmediatamente, la dirección 2 (1hpz7rn… vVPH) transfirió rápidamente 1.89 BTC de los fondos de rescate a la dirección intermedia 1: bc1qan… 0ac4, 1.84 a la dirección intermedia 2:112qjqj… Sdha, 0.34 El artículo va a la dirección intermedia 3:19Uxbt… 9rdF.

La dirección intermedia final 2:112qJqj… Sdha y la dirección intermedia 3:19Uxbt… 9rdF transfirieron fondos a la dirección intermedia 1: bc1qan… 0ac4. Inmediatamente después, la dirección intermedia 1 bc1qan… 0ac4 continuó transfiriendo fondos. Una pequeña parte de los fondos se transfirió directamente a la bolsa de Binance, y la otra parte de los fondos se transfirieron capa por capa a través de la dirección intermedia, y finalmente se transfirieron a Binance y otras plataformas para blanqueo de dinero. Los detalles específicos de la transacción y las etiquetas de dirección son los siguientes.

Figura: Dirección 2 (1hpz7rn… vVPH) Detalles de las fuentes de financiación y salida

Figura: Seguimiento del flujo de fondos de la dirección 2 (1hpz7rn… vVPH)

Figura: Detalles de las direcciones intermedias y flujos de dinero involucrados en la dirección 2 (1hpz7rn… vVPH)

LockBit lavará dinero de criptomonedas después de recibir el rescate. A diferencia de los métodos tradicionales de lavado de dinero, este modelo de lavado de dinero suele ocurrir en la cadena de bloques. Tiene las características de un ciclo largo, fondos dispersos, alta automatización y alta complejidad. Para llevar a cabo la supervisión de criptomonedas y el rastreo de fondos, por un lado, es necesario desarrollar capacidades de análisis forense en la cadena y fuera de ella, y por otro lado, es necesario llevar a cabo ataques de seguridad a nivel de APT y defensa a nivel de seguridad de la red, con la capacidad de integrar el ataque y la defensa.

5. LAVADO DE DINERO

El lavado de dinero (blanqueo de dinero) es un acto de legalizar ganancias ilegales. Principalmente se refiere a la legalización formal de ganancias ilegales y las ganancias generadas al ocultar el origen y la naturaleza de las ganancias ilegales a través de diversos medios. Tales actos incluyen, pero no se limitan a, proporcionar cuentas financieras, asistir en la conversión de formas de propiedad, y ayudar en la transferencia de fondos o remesas al extranjero. Sin embargo, las criptomonedas, especialmente las stablecoins, se han utilizado para el lavado de dinero durante bastante tiempo debido a sus bajos costos de transferencia, desgeolocalización y ciertas propiedades resistentes a la censura, lo que es una de las principales razones por las que las criptomonedas han sido criticadas.

Las actividades tradicionales de lavado de dinero a menudo utilizan el mercado OTC de criptomonedas para intercambiar moneda fiduciaria por criptomonedas, o de criptomonedas a moneda fiduciaria. Entre ellos, los escenarios de lavado de dinero son diferentes y las formas son diversas, pero independientemente de la naturaleza de tales actos, tienen como objetivo bloquear la investigación de vínculos de capital por parte de las autoridades encargadas de hacer cumplir la ley, incluidas cuentas de instituciones financieras tradicionales o cuentas de instituciones criptográficas.

A diferencia de las actividades tradicionales de lavado de dinero, el objetivo del nuevo tipo de actividad de lavado de dinero de criptomonedas es la criptomoneda en sí, y se utilizará ilegalmente la infraestructura de la industria cripto, incluidas las carteras, puentes entre cadenas, plataformas de trading descentralizadas, etc.

Gráfico: Cantidad de dinero blanqueado en los últimos años

Desde 2016 hasta 2023, las criptomonedas lavaron un total de $147.7 mil millones. Desde 2020, la cantidad de dinero lavado ha seguido aumentando a una tasa del 67% anual, alcanzando $23.8 mil millones en 2022, y llegando hasta $80 mil millones en 2023. La cantidad de dinero lavado es asombrosa y las acciones contra el lavado de dinero son imperativas.

Según las estadísticas de la plataforma ChainAegis, la cantidad de fondos en la plataforma de mezcla de monedas en cadena Tornado Cash ha mantenido un crecimiento rápido desde enero de 2020. Actualmente, casi 3,62 millones de depósitos de ETH se han colocado en este fondo, con un depósito total de 7,8 mil millones de dólares estadounidenses. Tornado Cash se ha convertido en el centro de lavado de dinero más grande de Ethereum. Sin embargo, cuando la agencia de aplicación de la ley de EE. UU. emitió un documento sancionando a Tornado Cash en agosto de 2022, el número de depósitos y retiros semanales de Tornado Cash disminuyó exponencialmente, pero debido a la naturaleza descentralizada de Tornado Cash, fue imposible detenerlos en la fuente, y los fondos continuaron fluyendo al sistema para mezclar monedas.

Análisis del modelo de lavado de dinero del Grupo Lázaro (Organización APT de Corea del Norte)

Las organizaciones nacionales de APT (Amenaza Persistente Avanzada) son los principales grupos de hackers con apoyo nacional que apuntan a objetivos específicos durante un largo período de tiempo. El grupo Lazarus de Corea del Norte es una banda de APT muy activa. El propósito principal del ataque es robar fondos, lo que se puede llamar la mayor amenaza para las instituciones financieras globales. Son responsables de muchos ataques y casos de robo de capital en el sector de las criptomonedas en los últimos años.

Los incidentes de seguridad y las pérdidas de los ataques de Lazarus en el campo criptográfico que se han contabilizado claramente hasta ahora son los siguientes:

Más de 3 mil millones de dólares estadounidenses fueron robados por Lazarus en un ciberataque. Según informes, el grupo de hackers Lazarus cuenta con el apoyo de los intereses estratégicos de Corea del Norte para financiar los programas nucleares y de misiles balísticos de Corea del Norte. Con este fin, EE. UU. anunció una recompensa de 5 millones de dólares para sancionar al grupo de hackers Lazarus. El Departamento del Tesoro de EE. UU. también ha añadido direcciones relevantes a la lista de Nacionales Especialmente Designados (SDN) de la OFAC, prohibiendo a individuos, entidades y direcciones relacionadas de EE. UU. comerciar para asegurar que los grupos financiados por el estado no puedan redimir estos fondos, imponiendo así sanciones. El desarrollador de Ethereum Virgil Griffith fue condenado a 5 años y 3 meses de prisión por ayudar a Corea del Norte a evadir sanciones mediante el uso de moneda virtual. En 2023, la OFAC también sancionó a tres personas asociadas con el Grupo Lazarus. Dos de los sancionados, Cheng Hung Man y Wu Huihui, eran comerciantes de venta libre que facilitaban transacciones de criptomonedas para Lazarus, mientras que un tercero, Sim Hyon Sop, proporcionaba otro tipo de apoyo financiero.

A pesar de esto, Lazarus ha completado más de $1 mil millones en transferencias de activos y limpiezas, y su modelo de lavado de dinero se analiza a continuación. Tomemos el incidente de Atomic Wallet como ejemplo. Después de eliminar los disruptores técnicos establecidos por el hacker (un gran número de transacciones de transferencia de tokens falsos + múltiples divisiones de direcciones), se puede obtener el modelo de transferencia de fondos del hacker:

Figura: Vista de transferencia de fondos de Atomic Wallet Victim 1

La Víctima 1 transfiere 304.36 ETH desde la dirección 0xb02d… c6072 a la dirección del hacker 0x3916... 6340, y después de 8 cuotas a través de la dirección intermedia 0x0159... 7b70, regresa a la dirección 0x69ca… 5324. Los fondos recogidos desde entonces se han transferido a la dirección 0x514c… 58f67. Actualmente, los fondos siguen en esta dirección, y el saldo de ETH de la dirección es de 692.74 ETH (valorado en $1.27 millones de dólares).

Figura: Vista de transferencia de fondos de la víctima 2 de Atomic Wallet

La Víctima 2 transfirió 1.266,000 USDT desde la dirección 0x0b45... d662 a la dirección del hacker 0xf0f7... 79b3. El hacker lo dividió en tres transacciones, dos de las cuales se transfirieron a Uniswap, totalizando 1,266,000 USDT; la otra transferencia se transfirió a la dirección 0x49ce… 80fb, con un monto de transferencia de 672.71 ETH. La Víctima 2 transfirió 22,000 USDT a la dirección del hacker 0x0d5a… 08c2. El hacker recopiló los fondos directa o indirectamente a la dirección 0x3c2e… 94a8 a través de múltiples pagos a través de direcciones intermedias 0xec13... 02d6, etc.

Este modelo de lavado de dinero es muy consistente con el modelo de lavado de dinero en los ataques anteriores de la Red Ronin y Harmony, e incluyen todos tres pasos:

(1) Consolidación y intercambio de fondos robados: Después de que se lanza el ataque, los tokens robados originales se ordenan, y varios tokens se intercambian por ETH a través de DEX y otros métodos. Esta es una forma común de eludir la congelación de fondos.

(2) Recolección de fondos robados: Recopilación del ETH ordenado en varias direcciones de billetera desechables. En el incidente de Ronin, los hackers compartieron 9 de esas direcciones, Harmony utilizó 14 y el incidente de Atomic Wallet utilizó casi 30 direcciones.

(3) Transfer out of stolen funds: Use the collection address to launder money through Tornado.Cash. This completes the entire money transfer process.

Además de tener los mismos pasos de lavado de dinero, también hay un alto grado de coherencia en los detalles del lavado de dinero:

(1) Los atacantes son muy pacientes. Todos ellos utilizaron hasta una semana para llevar a cabo operaciones de blanqueo de capitales, y todos iniciaron operaciones de seguimiento de blanqueo de capitales unos días después de que ocurriera el incidente.

(2) Las transacciones automatizadas se utilizan en el proceso de lavado de dinero. La mayoría de las acciones de cobro de dinero tienen un gran número de transacciones, intervalos de tiempo pequeños y un modelo uniforme.

A través del análisis, creemos que el modelo de lavado de dinero de Lázaro es generalmente el siguiente:

(1) Divida las cuentas y transfiera activos en pequeñas cantidades y múltiples transacciones para que sea más difícil de rastrear.

(2) Comience a fabricar una gran cantidad de transacciones de moneda falsa para dificultar su rastreo. Tomando el incidente de la Cartera Atómica como ejemplo, 23 de las 27 direcciones intermedias eran todas direcciones de transferencia de dinero falso. Una tecnología similar fue descubierta recientemente en el análisis del incidente de Stake.com, pero los incidentes anteriores de la Red Ronin y Harmony no tenían esta tecnología de interferencia, lo que indica que la tecnología de lavado de dinero de Lazarus también ha sido actualizada.

(3) Se utilizan más métodos en cadena (como Tonado Cash) para mezclar monedas. En incidentes anteriores, Lázaro a menudo utilizaba intercambios centralizados para obtener capital inicial o llevar a cabo OTC posteriores, pero recientemente se están utilizando menos intercambios centralizados, e incluso se puede pensar que están tratando de evitar usar intercambios centralizados tanto como sea posible. Esto debería estar relacionado con varios incidentes recientes de sanciones.

VI. Sanciones y regulación

Agencias como la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés) del Departamento del Tesoro de los Estados Unidos y agencias similares en otros países adoptan sanciones contra países, regímenes, individuos y entidades que se consideran una amenaza para la seguridad nacional y la política exterior. Tradicionalmente, la aplicación de las sanciones se ha basado en la cooperación de las principales instituciones financieras, pero algunos malos actores han recurrido a las criptomonedas para eludir a estos intermediarios externos, creando nuevos desafíos para los responsables políticos y las agencias sancionadoras. Sin embargo, la transparencia inherente de las criptomonedas y la voluntad de cumplir con los servicios de criptomonedas, en particular los muchos intercambios centralizados que actúan como enlace entre las criptomonedas y las monedas fiduciarias, han demostrado que la imposición de sanciones es posible en el mundo de las criptomonedas.

Aquí tienes un vistazo a algunas de las personas o entidades vinculadas a las criptomonedas que fueron sancionadas en los EE. UU. en 2023, y las razones de las sanciones de la OFAC.

Tether, la empresa detrás de la criptomoneda estable más grande del mundo, anunció el 9 de diciembre de 2023 que "congelará" tokens en las billeteras de individuos sancionados en la lista de individuos sancionados de la Oficina de Control de Activos Extranjeros (OFAC) de EE. UU. En su anuncio, Tether consideró la medida como un paso voluntario para "prevenir de manera proactiva cualquier posible mal uso de tokens Tether y mejorar las medidas de seguridad".

Esto también muestra que la investigación y el castigo de los delitos relacionados con criptomonedas ha entrado en una etapa sustancial. La cooperación entre las empresas centrales y las agencias de aplicación de la ley puede formar sanciones efectivas para monitorear y castigar los delitos relacionados con criptomonedas.

En cuanto a la regulación de la Web3 en 2023, Hong Kong también ha hecho enormes progresos, y está haciendo sonar la trompeta para "desarrollar de forma conforme" los mercados de la Web3 y las criptomonedas. Cuando la Autoridad Monetaria de Singapur comenzó a restringir a los clientes minoristas el uso de apalancamiento o crédito para transacciones de criptomonedas en 2022, el Gobierno de la RAEHK emitió una "Declaración de política sobre el desarrollo de activos virtuales en Hong Kong", y algunos talentos y empresas de Web3 se fueron a una nueva tierra prometida.

El 1 de junio de 2023, Hong Kong cumplió con la declaración y emitió las “Directrices para los Operadores de Plataformas de Comercio de Activos Virtuales”. El sistema de licencias de plataformas de comercio de activos virtuales fue implementado oficialmente, y se han emitido las licencias de Clase 1 (comercio de valores) y Clase 7 (prestación de servicios de comercio automatizado).

Actualmente, organizaciones como OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus y DFX Labs están solicitando activamente licencias de plataforma de negociación de activos virtuales (VASP).

El director ejecutivo Li Jiachao, el secretario de Finanzas Chen Maobo y otros han hablado con frecuencia en nombre del gobierno de Hong Kong para apoyar el lanzamiento de Web3 en Hong Kong y atraer empresas de cripto y talentos de todo el mundo para construir. En cuanto al apoyo político, Hong Kong ha introducido un sistema de licencias para proveedores de servicios de activos virtuales, que permite a los inversores minoristas comerciar con criptomonedas, lanzó un fondo de ecosistema Web3 Hub de $10 millones de dólares y planea invertir más de HK$700 millones para acelerar el desarrollo de la economía digital y promover el desarrollo de la industria de activos virtuales. También ha establecido un equipo de trabajo para el desarrollo de Web 3.0.

Sin embargo, cuando se estaban logrando grandes avances, los eventos riesgosos también aprovecharon el impulso. El intercambio de criptomonedas no autorizado JPEX involucró más de HK$1 mil millones, el caso de fraude HOUNAX involucró más de 100 millones de yuanes, HongKongDAO y BitCuped sospechosos de fraude de activos virtuales... Estos incidentes viciosos atrajeron gran atención de la Comisión Reguladora de Valores de Hong Kong y la policía. La Comisión Reguladora de Valores de Hong Kong dijo que desarrollará pautas de evaluación de riesgos para casos de activos virtuales con la policía e intercambiará información semanalmente.

Creo que en un futuro cercano, un sistema regulatorio y de seguridad más completo ayudará a Hong Kong, como un importante centro financiero entre Oriente y Occidente, a abrir sus puertas a Web3.

Descargo de responsabilidad:

1. Este artículo fue reimpreso de [aicoin]. Todos los derechos de autor pertenecen al autor original [SharkTeam]. Si hay objeciones a esta reimpresión, por favor contacta al Gate Learnequipo y lo resolverán rápidamente.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente del autor y no constituyen asesoramiento de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.