В 2023 году в индустрии Web3 произошло более 940 инцидентов безопасности, как крупных, так и мелких, что увеличилось более чем на 50% по сравнению с 2022 годом, и привело к потере 1,79 миллиарда долларов. Из них третий квартал имел наибольшее количество инцидентов безопасности (360 случаев) и самые большие потери (7,4 миллиарда долларов), и убытки увеличились на 47% по сравнению с 2022 годом. В частности, в июле произошло 187 инцидентов безопасности, и убытки составили 350 миллионов долларов.

Фигура: Количество квартальных/месячных инцидентов безопасности для Web 3 2023

Рисунок: квартальные/ежемесячные потери от инцидентов безопасности Web 3 в 2023 году (в миллионах долларов)

Во-первых, хакерские атаки по-прежнему являются основной причиной значительных потерь. В 2023 году произошло 216 инцидентов взлома, приведших к убыткам в размере 1,06 миллиарда долларов. Нарушения контрактов, кража закрытых ключей, фишинговые атаки и национальные хакерские атаки по-прежнему являются важными причинами, угрожающими безопасности экосистемы Web3.

Во-вторых, увеличивается количество Rugpull и мошенничества с казной. В 2023 году было зарегистрировано 250 случаев мошенничества Rugpull и Scam, причем такие инциденты чаще всего происходили на BNBChain. Мошеннические проекты привлекают инвесторов к участию, размещая кажущиеся привлекательными криптопроекты и предоставляя ложную ликвидность. Как только привлечены достаточные средства, все средства внезапно крадутся, а активы переводятся. Этот вид мошенничества причиняет серьезные финансовые потери инвесторам и также сильно усложняет выбор правильного проекта для инвестирования.

Кроме того, вымогательство с использованием криптовалют для взимания выкупов, таких как Lockbit, Conti, Suncrypt и Monti, становится все более популярным. Криптовалюта сложнее отследить, чем фиатные деньги, и важность использования инструментов анализа цепочки блоков для отслеживания и определения местоположения групп вымогателей также становится все более важной.

Наконец, в криминальной деятельности, такой как хакерские атаки на криптовалюты и мошенническое вымогательство, преступникам часто требуется отмывать деньги через ончейн-переводы средств и внебиржевые сделки после получения криптовалюты. Отмывание денег обычно использует комбинацию децентрализованных и централизованных методов. Централизованные биржи являются наиболее концентрированными местами для отмывания денег, за которыми следуют ончейн платформы для смешивания монет.

2023 также является годом значительного развития в регулировании Web3. FTX2.0 был перезапущен, Binance был санкционирован, адреса USDT, такие как Hamas, были запрещены, а SEC приняла биткоин ETF в январе 2024 года. Эти вехи свидетельствуют о том, что регулирование тесно связано с развитием Web3.

Этот отчет проведет систематический анализ ключевых тем, таких как хакерская атака Web3 2023 года, мошенничество Rugpull, вымогательство, отмывание денег в криптовалюте, регулирование Web3 и т. д., чтобы понять обстановку в области безопасности развития индустрии криптовалют.

1. Уязвимости в контракте

Атаки на уязвимости контрактов в основном происходили на Ethereum. Во второй половине 2023 года на Ethereum произошло 36 атак на уязвимости контрактов, убытки составили более 200 миллионов долларов США, за ними следует BNBChain. С точки зрения методов атак, наиболее распространенными по-прежнему остаются недостатки бизнес-логики и атаки на флэш-кредиты.

Фигура: Веб 3 2023 Квартальные инциденты взлома и потери (в миллионах долларов)

Фигура: Количество и объем ежемесячных эксплойтов и хакерских атак на веб-3 2023H2

Фигура: количество атак эксплойтов по контрактам и суммы убытков в месяц в разных цепях Web 3 2023H2

Фигура: Количество и сумма потерь, вызванных уязвимостью контракта Web 3 2023H2 с использованием конкретных методов атаки

Типичный анализ событий: уязвимости Vyper приводят к атакам на проекты, такие как Curve и JPEG'd.

Возьмем нападение на JPEG в качестве примера:

Адрес атакующего: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Контракт атакующего: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Транзакции на атаку:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Атакующие (0x6ec21d18) создали контракт 0x466B85B4 и заняли 80 000 WETH у [Balancer: Vault] через флеш-кредиты.

(2) Атакующие (0x6ec21d18) добавили 40 000 WETH в пул ликвидности peth-ETH-F (0x9848482d) и получили 32 431 pETH.

(3) Впоследствии атакующие (0x6ec21d18) повторно удаляли ликвидность из пула ликвидности peth-ETH-F (0x98482D).

(4) В конце концов, атакующие (0x6ec21d18) получили 86,106 WETH, и после возврата моментального кредита, прибыль в размере 6,106 WETH покинула рынок.

Анализ уязвимостей: Этот атака является типичной атакой повторного входа. Декомпиляция байткода контракта атакуемого проекта. Мы можем видеть на следующем рисунке: функции add_liquidity и remove_liquidity не одинаковы при проверке значения слота хранения. Используя другой слот хранения, блокировка повторного входа может не работать. На этом этапе подозревается, что это ошибка в основном дизайне Vyper.

Совместно с официальным твитом Curve. В конечном итоге целью стал баг версии Vyper. Уязвимость существует в версиях 0.2.15, 0.2.16 и 0.3.0, и существует недостаток в конструкции блокировки повторного входа. Мы сравниваем 0.2.14 и 0.3.0 до 0.2.15 Позже, в версии 0.3.1, было обнаружено, что этот участок кода постоянно обновляется. У старой версии 0.2.14 и новой версии 0.3.1 этой проблемы не было.

В файле настроек, связанном с повторной блокировкой, data_positions.py, соответствующем Vyper, значение storage_slot будет перезаписано. В ret слот, который первым получил блокировку, равен 0, затем при повторном вызове функции слот блокировки будет увеличен на 1. В этот момент срок действия блокировки повторного входа истечет.

II. Атаки фишинга

Фишинговые атаки являются типом кибератак, цель которых - обмануть и заставить цели получить конфиденциальную информацию или заставить их совершить вредоносные действия. Этот тип атак обычно осуществляется через электронную почту, социальные медиа, SMS или другие каналы связи. Злоумышленники маскируются под доверенные субъекты, такие как стороны проекта, органы власти, KOL и т. д., чтобы заманить жертв в предоставлении приватных ключей, мнемоники или разрешения на транзакцию. Аналогично атакам на уязвимости контрактов, фишинговые атаки проявили высокую частоту и высокие потери в третьем квартале. Всего произошло 107 фишинговых атак, из них 58 произошли в июле.

Рисунок: Количество фишинг-атак и убытков за квартал в Веб 3 2023 года (в миллионах долларов)

Фигура: Количество ежемесячных фишинговых атак на Web 3 2023

Анализ ончейн-переводов активов типичных фишинговых атак

7 сентября 2023 года адрес (0x13e382) был подвергнут фишинговой атаке и потерял более $24 миллионов. Фишеры использовали кражу фондов, обмен фондов и децентрализованные фондовые трансферы. Из общей суммы украденных средств 3 800 ETH было переведено в Tornado.Cash порциями, 10 000 ETH было переведено на промежуточный адрес (0x702350), а 1078,087 DAI осталось на промежуточном адресе (0x4F2F02).

Это типичная атака фишингом. Путем кражи активов пользователей путем обмана авторизации кошелька или частных ключей злоумышленники сформировали черную цепочку промывания денег. В настоящее время все больше и больше мошеннических группировок, и даже национальные хакеры используют методы фишинга для совершения преступлений в области Web3, что требует внимания и бдительности всех.

Согласно платформе анализа больших данных SharkTeam ChainAegis (https://app.chainaegis.com/) на цепочкеВ последующем анализе мы рассмотрим процесс мошенничества типичных фишинг-атак, перевод средств и поведение мошенников на цепочке.

(1) Процесс атаки фишинга

Адрес жертвы (0x13e382) предоставляет rETH и stETH мошенническому адресу 1 (0x4c10a4) через 'Увеличить разрешение'.

Адрес мошенника 1 (0x4c10a4) перевел 9,579 stETH с аккаунта адреса пострадавшего (0x13e382) на адрес мошенника 2 (0x693b72) на сумму примерно $15.32 миллиона.

Адрес мошенника 1 (0x4c10a4) перевел 4 850 rETH с адреса жертвы (0x13e382) на счет мошенника 2 (0x693b72) на сумму приблизительно 8,41 миллиона долларов.

(2) Обмен и передача активов

Обменяйте украденные stETH и rETH на ETH. Начиная с раннего утра 2023-09-07, адрес мошенника 2 (0x693b72) совершил несколько обменных операций на платформах UniSwapV2, UniSwapv3 и Curve соответственно, обменяв все 9 579 stETH и 4 850 rETH на ETH, на общую сумму 14 783,9413 ETH.

Обмен stETH:

Обмен rETH:

Обменять немного ETH на DAI. Адрес мошенника 2 (0x693b72) обменял 1 000 ETH на 1 635 047.761675421713685327 через платформу UniSwapv3 в DAI. Мошенники использовали децентрализованные фондовые переводы на несколько промежуточных кошельков, на сумму 1 635 139 DAI и 13 785 ETH. Из них 1 785 ETH были переведены на промежуточный адрес (0x4F2F02), 2 000 ETH были переведены на промежуточный адрес (0x2ABDC2), и 10 000 ETH были переведены на промежуточный адрес (0x702350). Кроме того, на следующий день промежуточный адрес (0x4F2F02) получил 1 635 139 DAI

Перевод средств на промежуточный кошелек (0x4F2F02):

Адрес прошел через ступенчатый перевод средств и имеет 1,785 ETH и 1,635,139 DAI. Децентрализованный перевод средств DAI, и небольшие суммы конвертированы в ETH

Во-первых, мошенники начали переводить 529 000 DAI через 10 транзакций ранним утром 07.09.2023. Впоследствии первые 7 DAI в общей сложности 452 000 DAI были переведены с промежуточного адреса на 0x4E5B2E (fixedFloat), восьмой — с промежуточного адреса на 0x6CC5F6 (OKX), а последние 2 — 77 000 DAI — с промежуточного адреса на 0xF1DA17 (exCH).

Во-вторых, 10 сентября 28 052 DAI были обменены на 17,3 ETH через UniswapV2.

С 8 по 11 сентября было проведено 18 транзакций, и все 1 800 ETH были переведены в Tornado.Cash.

После перевода на адрес в конечном итоге остались украденные средства в размере 1078 087 DAI, которые не были переведены.

Перевод средств на промежуточный адрес (0x2ABDC2):

Адрес был передан через уровень средств и имеет 2 000 ETH. Сначала адрес перевел 2000ETH на промежуточный адрес (0x71C848) 11 сентября.

Промежуточный адрес (0x71C848) затем передал средства через два перевода средств 11 сентября и 1 октября соответственно, в общей сложности 20 транзакций, по 100 ETH каждая, на общую сумму 2000 ETH в Tornado.Cash.

Адрес был передан через уровень фондов и удерживает 10 000 ETH. На 8 октября 2023 года 10 000 ETH не было переведено на счет этого адреса.

Отслеживание улик по адресу: После анализа истории транзакций адреса мошенника 1 (0x4c10a4) и адреса мошенника 2 (0x693b72) было обнаружено, что адрес EOA (0x846317) передал 1.353 ETH адресу мошенника 2 (0x693b72), а источником финансирования для этого адреса EOA стали горячие кошельки централизованных бирж KuCoin и Binance.

III. Ругпулл и мошенничество

Частота случаев мошенничества Rugpull в 2023 году показала значительный восходящий тренд. В 4 квартале было зафиксировано 73 случая суммарным ущербом в размере 19 миллионов долларов США, средний убыток отдельного случая составил около 26 000 долларов США. Квартал с наибольшей долей убытков от мошенничества Rugpull за весь год был второй квартал, за которым последовал третий квартал, которые привели к более чем 30% убытков.

Во второй половине 2023 года произошло всего 139 инцидентов Rugpull и 12 мошеннических инцидентов, что привело к потерям в размере $71.55 миллионов и $340 миллионов соответственно.

События Rugpull в основном происходили на BNBChain во второй половине 2023 года, достигнув 91 раз, что составляет более 65%, и убытки составили $29.57 миллиона, что составляет 41% от общих потерь. За Ethereum (44 раза) последовал ущерб в размере $7.39 миллиона. Помимо Ethereum и BNBChain, инцидент Rugpull BALD произошел на Base Chain в августе, причинив серьезные убытки в размере $25.6 миллиона.

Фигура: Количество случаев Rugpull и мошенничества и убытки за квартал для Web 3 2023 года (в миллионах долларов)

Фигура: Количество инцидентов и потерь от Rugpull и Scam в месяц на Web 3 2023H2

Фигура: Количество ежемесячных случаев Rugpull и суммы убытков в разных цепях Web 3 2023H2

Анализ поведения фабрики мошенничества Rugpull

Модель фабрики мошенничества Rug популярна на BNBChain для массового производства мошеннических токенов Rugpull и совершения мошенничества. Давайте взглянем на схему мошенничества фабрики Rugpull с фальшивыми токенами SEI, X, TIP и Blue.

(1) SEI

Сначала обманщик, держатель фальшивого токена SEI 0x0a8310eca430beb13a8d1b42a03b3521326e4a58, обменял 249 фальшивых SEI на 1U.

Затем 0x6f9963448071b88fb23fd9971d24a87e5244451A провел массовые операции покупки и продажи. В результате покупочных и продажных операций ликвидность токена значительно увеличилась, а цена также повысилась.

Через рыболовство и другие методы продвижения большое количество пользователей соблазняются на покупку. По мере увеличения ликвидности цена токена удваивается.

Когда цена токена достигает определенного значения, владелец токена входит на рынок и продаёт для выполнения операции Rugpull. Как видно на изображении ниже, период входа в сбор и цена отличаются.

(2) Поддельный X, поддельный TIP, поддельный синий

Сначала владельцы токенов X, TIP и Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 обменивали 1U на соответствующий токен. Затем, как фальшивый токен Sei.

Операции покупки и продажи в объеме. Под операциями покупки и продажи ликвидность значительно увеличилась, и цены выросли.

Затем он был продвинут через рыболовство и другие каналы, чтобы привлечь большое количество пользователей к совершению покупок. После увеличения ликвидности цена токена удвоилась.

Как и с фейковым SEI, когда цена токена достигает определенного значения, владелец токена входит на рынок для продажи и осуществления операции Rugpull. Как видно на изображении ниже, период входа в харвест и цена отличаются.

График колебаний для фейковых SEI, фейковых X, фейковых TIP и фейковых Blue токенов выглядит следующим образом:

Мы можем учиться отслеживаемости средств и поведенческих шаблонов:

В контексте прослеживаемости фонда средства создателя монетного двора и создателя токенов поступают с нескольких учетных записей EOA. Также совершаются финансовые транзакции между различными счетами. Некоторые из них передаются через адреса для фишинга, некоторые получены через предыдущие токены Rugpull, а другие - через смешанные платформы, такие как Tornado Cash. Перевод средств различными способами направлен на создание сложных и запутанных финансовых сетей. Различные адреса также создали несколько контрактов фабрики токенов и массово производят токены.

При анализе поведения токена Rugpull мы обнаружили адрес

0x6f9963448071b88fb23fd9971d24a87e5244451a - один из источников финансирования. Метод пакетной обработки также используется для манипулирования ценами токенов. Адрес 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 также выступает в качестве поставщика финансирования, предоставляя соответствующие средства нескольким держателям токенов.

Путем анализа можно увидеть, что за этой серией действий стоит банда мошенников Web3 с четким разделением труда, образующая черную производственную цепочку. В основном это связано со сбором горячих точек, автоматической эмиссией монет, автоматической торговлей, ложной рекламой, фишинговыми атаками и сбором Rugpull, которые в основном происходили в BNBChain. Все выпущенные поддельные токены Rugpull тесно связаны с горячими событиями в отрасли и очень сбивают с толку и обнадеживают. Пользователи всегда должны быть бдительными, рациональными и избегать ненужных потерь.

IV. Вымогательство с использованием программ-вымогателей

Угроза атак вымогательского вредоносного ПО в 2023 году продолжает угрожать институтам и бизнесу все время. Атаки вымогательского вредоносного ПО становятся более сложными, и злоумышленники используют разнообразные техники для эксплуатации уязвимостей в организационных системах и сетях. Постоянно увеличивающиеся атаки вымогательского вредоносного ПО продолжают представлять собой серьезную угрозу для бизнес-организаций, частных лиц и критической инфраструктуры по всему миру. Злоумышленники постоянно адаптируются и усовершенствуют свои стратегии атак, используя утекший исходный код, интеллектуальные схемы атак и новые языки программирования для максимизации своих незаконных прибылей.

LockBit, ALPHV/BlackCat и BlackBasta в настоящее время являются наиболее активными организациями вымогателей.

Цифра: Количество жертв организаций-вымогателей

В настоящее время все больше программ-вымогателей используют способы оплаты криптовалютой. Возьмем, к примеру, Lockbit. В число компаний, недавно подвергшихся атаке Lockbit, входят TSMC в конце июня этого года, Boeing в октябре и дочерняя компания Industrial and Commercial Bank of China в США в ноябре. Большинство из них используют биткоин для сбора выкупа, а LockBit будет отмывать криптовалютные деньги после получения выкупа. Проанализируем модель отмывания денег программами-вымогателями на примере Lockbit.

Согласно анализу ChainAegis, программа-вымогатель LockBit в основном использует BTC для сбора выкупа, используя разные платежные адреса. Некоторые адреса и суммы платежей расположены следующим образом. BTC за одно вымогательство варьировались от 0,07 до 5,8, примерно от $2 551 до $211 311.

Фигура: Частичный адрес выплаты LockBit и сумма выплаты

Ончейн-отслеживание адресов и анализ по борьбе с отмыванием денег были проведены с использованием двух адресов с наибольшими суммами:

Адрес получения выкупа 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Адрес получателя выкупа 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Адрес сбора выкупа 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Согласно нижеприведенному анализу, Адрес 1 (1Ptfhw) получил общее количество 17 он-чейн транзакций с 25 марта 2021 года по 15 мая 2021 года. После получения средств активы были быстро переведены на 13 основных промежуточных адресов. Эти промежуточные адреса передаются через уровень финансирования на 6 промежуточных адресов второго уровня, а именно: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4 и 13CPvF… Lpdp.

Промежуточный адрес 3fVzPx… cuvH, через анализ блокчейна было обнаружено, что его окончательный поток в адрес dark web 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P был обнаружен.

Промежуточный адрес 13cPVf… Lpdp перевел небольшое количество 0.00022 BTC на CoinPayments. Было 500 похожих транзакций, и всего было собрано 0.21 BTC на адресе CoinPayments: bc1q3y… 7y88 для отмывания денег с использованием CoinPayments.

Другие промежуточные адреса попали в централизованные биржи Binance и Bitfinex.

Рисунок: Адрес 1 (1Ptfhw… hPEM) Источники финансирования и детали оттока

Фигура: Адрес 1 (1Ptfhw… hPem) отслеживание потока денег

Фигура: Подробности промежуточных адресов и денежных потоков, связанных с адресом 1 (1Ptfhw… hPEM)

Рисунок: Адрес 1 (1Ptfhw... hPEM) карта транзакций

(2) Адрес получения вымогательства 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

Потерпевший заплатил 4,16 BTC оператору выкупа LockBit в 11 транзакциях между 24 мая 2021 года и 28 мая 2021 года. Немедленно адрес 2 (1hpz7rn… vVPH) быстро перевел 1,89 BTC выкупных средств на промежуточный адрес 1: bc1qan… 0ac4, 1,84 на промежуточный адрес 2:112qjqj… Sdha, 0,34 Предмет переходит на промежуточный адрес 3:19Uxbt… 9rdF.

Финальный промежуточный адрес 2:112qJqj… Sdha и промежуточный адрес 3:19Uxbt… 9rdF оба передали средства на промежуточный адрес 1: bc1qan… 0ac4. Сразу после этого средства продолжил передавать промежуточный адрес 1 bc1qan… 0ac4. Небольшая часть средств была передана непосредственно на биржу Binance, а другая часть средств передавалась пошагово через промежуточный адрес, и в конечном итоге была передана на Binance и другие платформы для отмывания денег. Конкретные детали транзакции и метки адресов следующие.

Фигура: Адрес 2 (1hpz7rn… vVPH) Источники финансирования и детали оттока

Фигура: Отслеживание потока средств адреса 2 (1hpz7rn… vVPH)

Рисунок: Подробности промежуточных адресов и денежных потоков, связанных с адресом 2 (1hpz7rn… vVPH)

LockBit будет отмывать деньги в криптовалюте после получения выкупа. В отличие от традиционных методов отмывания денег, эту модель отмывания денег обычно осуществляют на блокчейне. Она характеризуется длительным циклом, рассеянными средствами, высокой автоматизацией и высокой сложностью. Для осуществления надзора за криптовалютой и отслеживания фондов, с одной стороны, необходимо создать возможности анализа и криминалистики в цепочке и вне цепочки, а с другой стороны, необходимо проводить атаки и оборону на уровне безопасности сети на уровне APT, обладая способностью интегрировать атаку и оборону.

5. МОНЕТНАЯ ПРАЧКА

Отмывание денег (отмывание денег) - это акт легализации незаконных доходов. Это в основном относится к официальной легализации незаконных доходов и доходов, полученных путем скрытия происхождения и характера незаконных доходов различными способами. Такие действия включают, но не ограничиваются, предоставлением финансовых счетов, помощью в конвертации форм собственности и помощью в передаче средств или переводе за рубеж. Однако криптовалюты, особенно стейблкоины, уже довольно долгое время используются для отмывания денег из-за их низких затрат на перевод, отсутствия геолокации и определенных свойств, устойчивых к цензуре, что является одной из основных причин, по которым критикуются криптовалюты.

Традиционная деятельность по отмыванию денег часто использует внебиржевой рынок криптовалюты для обмена фиата на криптовалюту или с криптовалюты на фиат. Среди них сценарии отмывания денег различны и формы разнообразны, но независимо от характера таких действий, они направлены на блокирование расследования связей с капиталом сотрудниками правоохранительных органов, включая традиционные счета финансовых учреждений или счета криптографических учреждений.

В отличие от традиционной деятельности по отмыванию денег, целью нового типа деятельности по отмыванию денег криптовалюты является сама криптовалюта, а инфраструктура криптоиндустрии, включая кошельки, кросс-цепные мосты, децентрализованные торговые платформы и т. д., будет использоваться незаконно.

Фигура: Сумма отмытых денег за последние годы

С 2016 по 2023 год криптовалюта была отмыта на общую сумму в $147,7 миллиарда. С 2020 года объем отмывания денег продолжает увеличиваться со скоростью 67% в год, чтобы достичь $23,8 миллиарда в 2022 году и достичь $80 миллиардов в 2023 году. Объем отмывания денег поражает, и принятие мер по противодействию отмыванию денег необходимо.

Согласно статистике с платформы ChainAegis, сумма средств на платформе по смешиванию монет Tornado Cash на цепи поддерживает быстрый рост с начала 2020 года. В настоящее время в этот фонд было размещено почти 3,62 миллиона депозитов ETH на общую сумму в 7,8 миллиарда долларов США. Tornado Cash стал крупнейшим центром по отмыванию денег в сети Ethereum. Однако, поскольку агентство по правопорядку США выдало документ о санкциях против Tornado Cash в августе 2022 года, количество еженедельных депозитов и выводов из Tornado Cash резко снизилось, но из-за децентрализованной природы Tornado Cash было невозможно остановить их на источнике, и средства продолжали поступать в систему для смешивания монет.

Анализ модели отмывания денег группы Лазарус (северокорейская организация APT)

Национальные организации APT (Advanced Persistent Threat) — это ведущие хакерские группы с национальной поддержкой, которые нацелены на конкретные цели в течение длительного периода времени. Северокорейская APT-организация Lazarus Group является очень активной APT-группировкой. Основной целью атаки является кража средств, что можно назвать самой большой угрозой для мировых финансовых институтов. Они несут ответственность за множество атак и случаев кражи капитала в криптовалютном секторе в последние годы.

Безопасности инцидентов и потерь атак Лазаруса в криптографической сфере, которые были четко рассчитаны до сих пор, следующие:

Более 3 миллиардов долларов США средств были украдены Lazarus в результате кибератаки. Согласно сообщениям, хакерская группировка Lazarus поддерживается стратегическими интересами Северной Кореи для финансирования северокорейских ядерных и баллистических ракетных программ. С этой целью США объявили награду в размере 5 миллионов долларов за санкции против хакерской группировки Lazarus. Министерство финансов США также добавило соответствующие адреса в список граждан особых категорий и запрещенных лиц (SDN) OFAC, запретив американским физическим и юридическим лицам и связанным с ними адресам торговать, чтобы гарантировать, что финансируемые государством группы не смогут выкупить эти средства, тем самым наложив санкции. Разработчик Ethereum Вирджил Гриффит был приговорен к 5 годам и 3 месяцам тюремного заключения за помощь Северной Корее в уклонении от санкций с помощью виртуальной валюты. В 2023 году OFAC также ввело санкции против трех человек, связанных с Lazarus Group. Двое из попавших под санкции, Чэн Хун Ман и Ву Хуэйхуэй, были внебиржевыми трейдерами, которые способствовали криптовалютным сделкам для Lazarus, в то время как третья сторона, Сим Хён Соп, оказывала другую финансовую поддержку.

Несмотря на это, Лазарь завершил более чем $1 миллиард активов и очисток, и их модель отмывания денег проанализирована ниже. Возьмем инцидент с Atomic Wallet в качестве примера. После удаления технических нарушителей, установленных хакером (большое количество фиктивных токен-трансферов + множественные разделения адресов), можно получить модель передачи средств хакера:

Фигура: Просмотр перевода средств жертвы Atomic Wallet 1

Жертва 1 переводит 304.36 ETH с адреса 0xb02d… c6072 на адрес хакера 0x3916... 6340, и после 8 платежей через промежуточный адрес 0x0159... 7b70, он возвращается на адрес 0x69ca… 5324. Собранные средства были переведены на адрес 0x514c… 58f67. В настоящее время средства все еще находятся на этом адресе, и баланс ETH адреса составляет 692.74 ETH (на сумму $1.27 миллиона).

Фигура: Просмотр перевода фонда жертвы в Atomic Wallet 2

Жертва 2 передала 1 266 000 USDT с адреса 0x0b45... d662 на адрес хакера 0xf0f7... 79b3. Хакер разделил это на три транзакции, две из которых были переданы на Uniswap, общим объемом 1 266 000 USDT; другой перевод был передан на адрес 0x49ce… 80fb, с суммой перевода 672,71 ETH. Жертва 2 передала 22 000 USDT на адрес хакера 0x0d5a… 08c2. Хакер прямо или косвенно собрал средства на адрес 0x3c2e… 94a8 через несколько частей через промежуточные адреса 0xec13... 02d6 и т. д.

Эта модель отмывания денег в высшей степени согласуется с моделью отмывания денег в предыдущих атаках на Ronin Network и Harmony, и все они включают три шага:

(1) Консолидация украденных средств и обмен: После запуска атаки оригинальные украденные токены упорядочиваются, и различные токены обмениваются на ETH через DEX и другие методы. Это общий способ обойти замораживание средств.

(2) Сбор украденных средств: Сбор отсортированных ETH в несколько одноразовых адресов кошелька. В случае инцидента с Ronin хакеры использовали 9 таких адресов, Harmony использовала 14, а в инциденте с Atomic Wallet было использовано почти 30 адресов.

(3) Перевод украденных средств: Используйте адрес коллекции для отмывания денег через Tornado.Cash. Это завершает весь процесс передачи денег.

В дополнение к наличию одинаковых шагов по отмыванию денег, существует также высокая степень согласованности в деталях отмывания денег:

(1) Злоумышленники очень терпеливы. Все они тратили до недели на проведение операций по отмыванию денег, и все начали последующие операции по отмыванию денег через несколько дней после происшествия.

(2) Автоматизированные транзакции используются в процессе отмывания денег. Большинство действий по сбору денег имеют большое количество транзакций, маленькие временные интервалы и однородную модель.

Проведя анализ, мы считаем, что модель отмывания денег Лазаруса обычно выглядит следующим образом:

(1) Разделите счета и переводите активы малыми суммами и несколькими транзакциями, чтобы усложнить отслеживание.

(2) Начните производство большого количества фальшивых валютных транзакций, чтобы усложнить отслеживание. Возьмем в качестве примера инцидент с Atomic Wallet: 23 из 27 промежуточных адресов были фальшивыми адресами для перевода денег. Подобная технология была недавно обнаружена в анализе инцидента с Stake.com, но в предыдущих инцидентах Ronin Network и Harmony этой технологии помех не было, что указывает на то, что технология отмывания денег Лазаруса также была улучшена.

(3) Для смешивания монет используются более масштабные ончейн-методы (например, Tonado Cash). В ранних случаях Лазарь часто использовал централизованные биржи для получения стартового капитала или проведения последующих OTC, но в последнее время централизованные биржи используются все реже и реже, и даже можно подумать, что они пытаются избегать использования централизованных бирж насколько это возможно. Это должно быть связано с несколькими недавними санкционными случаями.

VI. Санкции и регулирование

Такие агентства, как Управление по контролю за иностранными активами Министерства финансов США (OFAC) и аналогичные агентства в других странах, вводят санкции против стран, режимов, физических и юридических лиц, которые считаются угрозой национальной безопасности и внешней политике. Традиционно применение санкций зависело от сотрудничества основных финансовых учреждений, но некоторые злоумышленники обратились к криптовалютам, чтобы обойти этих сторонних посредников, что создало новые проблемы для политиков и санкционных органов. Тем не менее, прозрачность, присущая криптовалютам, и желание соответствовать криптовалютным сервисам, в частности, многим централизованным биржам, которые выступают связующим звеном между криптовалютами и фиатными валютами, доказали, что введение санкций возможно в криптовалютном мире.

Взглянем на некоторых лиц или организации, связанных с криптовалютами, которые были санкционированы в США в 2023 году, и причины санкций ОФАК.

Tether, компания, стоящая за крупнейшим в мире стейблкоином, объявила 9 декабря 2023 года, что «заморозит» токены в кошельках подсанкционных лиц из списка подсанкционных лиц Управления по контролю за иностранными активами США (OFAC). В своем заявлении Tether расценил этот шаг как добровольный шаг для «упреждающего предотвращения любого потенциального неправомерного использования токенов Tether и усиления мер безопасности».

Это также показывает, что расследование и наказание преступлений в сфере криптовалют вошли в существенную стадию. Сотрудничество между ключевыми предприятиями и правоохранительными органами может обеспечить эффективные санкции для мониторинга и наказания преступлений в сфере криптовалют.

В плане регулирования Web3 в 2023 году Гонконг также сделал огромные успехи и звучит труба для «соответствующего развития» рынков Web3 и криптовалют. Когда Монетарная ассоциация Сингапура начала ограничивать розничных клиентов в использовании кредитного плеча или кредита для сделок с криптовалютами в 2022 году, Правительство Специального Административного Региона Гонконг выпустило «Политическое заявление о развитии виртуальных активов в Гонконге», и некоторые таланты и компании Web3 отправились в новую обетованную землю.

1 июня 2023 года Гонконг выполнил декларацию и выпустил “Руководство по операторам торговой платформы виртуальных активов”. Система лицензирования торговой платформы виртуальных активов была официально введена, и были выданы лицензии класса 1 (торговля ценными бумагами) и класса 7 (предоставление услуг автоматизированной торговли).

В настоящее время организации, такие как OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus и DFX Labs, активно подают заявки на лицензии торговой платформы виртуальных активов (VASP).

Главный исполнительный директор Ли Цзячао, финансовый секретарь Чен Маобо и другие часто выходят от имени правительства Гонконга в поддержку запуска Web3 в Гонконге и привлечения криптовалютных компаний и специалистов со всего мира для создания. В части поддержки политики Гонконг ввела лицензионную систему для поставщиков услуг виртуальных активов, которая позволяет розничным инвесторам торговать криптовалютами, запустила фонд экосистемы Web3 Hub на 10 миллионов долларов США и планирует инвестировать более 700 миллионов гонконгских долларов для ускорения развития цифровой экономики и стимулирования развития отрасли виртуальных активов. Также была создана рабочая группа по развитию Web 3.0.

Тем не менее, когда были достигнуты большие успехи, рискованные события также воспользовались моментом. Нелицензированная криптобиржа JPEX затронула более 1 миллиарда гонконгских долларов, дело о мошенничестве HOUNAX затронуло более 100 миллионов юаней, HongKongDAO и BitCuped подозревали мошенничество с виртуальными активами... Эти жестокие инциденты привлекли большое внимание со стороны Комиссии по регулированию ценных бумаг Гонконга и полиции. Комиссия по регулированию ценных бумаг Гонконга заявила, что разработает руководство по оценке рисков для дел о виртуальных активах с полицией и будет обмениваться информацией на еженедельной основе.

Я верю, что в ближайшем будущем более полная регулятивная и система безопасности поможет Гонконгу, как важному финансовому центру между Востоком и Западом, широко раскрыть объятия перед Web3.

Отказ от ответственности：

1. Эта статья перепечатана из [aicoin]. Все авторские права принадлежат оригинальному автору [SharkTeam]. Если есть возражения против этой перепечатки, пожалуйста, свяжитесь с Gate Learnкоманда, и они незамедлительно справятся с этим.
2. Отказ от ответственности: Взгляды и мнения, высказанные в этой статье, являются исключительно мнением автора и не являются инвестиционными рекомендациями.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.