Vào năm 2023, ngành công nghiệp Web3 đã ghi nhận hơn 940 sự cố về an ninh, lớn nhỏ, tăng hơn 50% so với năm 2022, và mất 1,79 tỷ USD. Trong số đó, quý ba có số lượng sự cố về an ninh cao nhất (360 trường hợp) và tổn thất lớn nhất (7,4 tỷ USD), và tổn thất tăng 47% so với năm 2022. Đặc biệt, vào tháng Bảy, đã xảy ra 187 sự cố về an ninh, với tổn thất lên đến 350 triệu USD.

Hình: Số lượng sự cố bảo mật hàng quý/hàng tháng cho Web 3 2023

Hình: Mất mát về sự cố bảo mật hàng quý/hàng tháng năm 2023 trên Web 3 (tính bằng triệu đô la)

Đầu tiên, các cuộc tấn công của hacker vẫn là nguyên nhân chính gây ra các mức thiệt hại đáng kể. Có 216 vụ tấn công hack xảy ra suốt năm 2023, gây ra tổng thiệt hại là 1,06 tỷ đô la. Việc vi phạm hợp đồng, mất chìa khóa riêng, tấn công lừa đảo và tấn công hack quốc gia vẫn là những lý do quan trọng đe dọa đến sự an toàn của hệ sinh thái Web3.

Thứ hai, Rugpull và gian lận kho bạc đang gia tăng. Có 250 vụ lừa đảo Rugpull và Scam trong năm 2023, với sự xuất hiện thường xuyên nhất của các sự cố như vậy trên BNBChain. Các dự án gian lận thu hút các nhà đầu tư tham gia bằng cách đăng các dự án tiền điện tử có vẻ hấp dẫn và cung cấp một số thanh khoản giả. Một khi đủ tiền được thu hút, tất cả các khoản tiền đột nhiên bị đánh cắp và tài sản được chuyển. Loại gian lận này gây thiệt hại tài chính nghiêm trọng cho các nhà đầu tư, và cũng làm tăng đáng kể khó khăn cho các nhà đầu tư trong việc lựa chọn dự án phù hợp.

Ngoài ra, mã độc ransomware đang trở nên phổ biến khi sử dụng tiền điện tử để thu tiền chuộc, như Lockbit, Conti, Suncrypt và Monti. Tiền điện tử khó theo dõi hơn tiền mặt, và cách sử dụng công cụ phân tích on-chain để theo dõi và định vị các băng nhóm ransomware cũng trở nên quan trọng hơn.

Cuối cùng, trong các hoạt động tội phạm như tấn công hack tiền điện tử và tống tiền lừa đảo, tội phạm thường cần rửa tiền thông qua việc chuyển tiền trên chuỗi khối và giao dịch OTC sau khi có được tiền điện tử. Rửa tiền thường sử dụng một sự kết hợp của phương pháp tập trung và phân tán. Các sàn giao dịch tập trung là nơi tập trung nhất cho hoạt động rửa tiền, tiếp theo là các nền tảng trộn coin trên chuỗi khối.

2023 cũng là năm của sự phát triển đáng kể trong quy định Web3. FTX2.0 đã được khởi động lại, Binance đã bị trừng phạt, địa chỉ bị cấm của USDT như Hamas, và SEC đã thông qua một quỹ giao dịch Bitcoin trong tháng 1 năm 2024. Những sự kiện mang tính bước ngoặt này đều cho thấy rằng quy định đang chặt chẽ liên quan đến sự phát triển của Web3.

Báo cáo này sẽ tiến hành phân tích hệ thống về các chủ đề chính như cuộc tấn công hack Web3 năm 2023, gian lận Rugpull, ransomware, rửa tiền tiền điện tử, quy định Web3, v.v., để hiểu rõ cảnh quan an ninh của sự phát triển của ngành công nghiệp tiền điện tử.

1. Lỗ hổng hợp đồng

Các cuộc tấn công lợi dụng lỗ hổng hợp đồng chủ yếu diễn ra trên Ethereum. Trong nửa cuối năm 2023, có 36 cuộc tấn công lợi dụng lỗ hổng hợp đồng diễn ra trên Ethereum, với tổn thất lên đến hơn 200 triệu đô la Mỹ, tiếp theo là BNBChain. Về phương pháp tấn công, lỗ hổng logic kinh doanh và tấn công vay nhanh vẫn là phổ biến nhất.

Hình: Sự cố và Thiệt hại hàng quý do Hack năm 2023 trên Web 3 (tính bằng triệu đô la)

Hình: Số lượng và số lượng khai thác hợp đồng hàng tháng và tấn công hack trên Web 3 2023H2

Hình: Số lượng cuộc tấn công khai thác hợp đồng và số tiền mất mát hàng tháng trên các chuỗi Web 3 2023H2 khác nhau

Hình: Số lượng và số lượng tổn thất do lỗ hổng hợp đồng Web 3 2023H2 gây ra bằng các phương thức tấn công cụ thể

Phân tích sự kiện điển hình: Các lỗ hổng Vyper khiến các dự án như Curve và JPEG’d bị tấn công

Lấy việc JPEG bị tấn công làm ví dụ:

Địa chỉ kẻ tấn công: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Hợp đồng tấn công: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Các giao dịch tấn công:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Những kẻ tấn công (0x6ec21d18) đã tạo ra một hợp đồng 0x466B85B4 và vay 80.000 WETH từ [Balancer: Vault] thông qua các khoản vay flash.

(2) Những kẻ tấn công (0x6ec21d18) đã thêm 40.000 WETH vào nhóm thanh khoản peth-ETH-F (0x9848482d) và thu được 32.431 pETH.

(3) Sau đó, những kẻ tấn công (0x6ec21d18) liên tiếp rút tiền rót từ gói thanh khoản peth-ETH-F (0x98482D).

Cuối cùng, những kẻ tấn công (0x6ec21d18) đã thu được 86,106 WETH, và sau khi trả lại khoản vay flash, một lợi nhuận 6,106 WETH rời khỏi thị trường.

Phân tích lỗ hổng: Cuộc tấn công này là một cuộc tấn công tái nhập điển hình. Giải mã bytecode của hợp đồng dự án bị tấn công. Chúng ta có thể thấy từ hình sau: các chức năng add_liquidity và remove_liquidity không giống nhau khi xác minh giá trị lưu trữ slot. Bằng cách sử dụng một slot bộ nhớ khác nhau, khóa tái nhập có thể không hoạt động. Ở điểm này, nghi ngờ rằng đó là một lỗi thiết kế cơ bản của Vyper.

Kết hợp với tweet chính thức của Curve. Cuối cùng, mục tiêu là một lỗi phiên bản Vyper. Lỗ hổng này tồn tại trong các phiên bản 0.2.15, 0.2.16 và 0.3.0, và có một lỗi trong thiết kế khóa tái nhập. Chúng ta so sánh 0.2.14 và 0.3.0 trước 0.2.15 Sau đó, trong phiên bản 0.3.1, đã phát hiện rằng phần mã này đang được cập nhật liên tục. Các phiên bản cũ 0.2.14 và mới hơn 0.3.1 không có vấn đề này.

Trong tệp cài đặt liên quan đến khóa tái nhập data_positions.py tương ứng với Vyper, giá trị storage_slot sẽ bị ghi đè. Trong trường hợp này, slot đầu tiên được tìm thấy khóa là 0, sau đó khi chức năng được gọi lại, slot khóa sẽ được tăng lên 1. Tại thời điểm này, khóa tái nhập sẽ hết hạn.

II. Cuộc tấn công lừa đảo

Tấn công lừa đảo là một loại tấn công mạng được thiết kế để đánh lừa và khiến các mục tiêu có được thông tin nhạy cảm hoặc khiến chúng thực hiện các hành động độc hại. Loại tấn công này thường được thực hiện qua email, phương tiện truyền thông xã hội, SMS hoặc các kênh liên lạc khác. Những kẻ tấn công cải trang thành các thực thể đáng tin cậy, chẳng hạn như các bên dự án, chính quyền, KOL, v.v., để dụ nạn nhân cung cấp khóa riêng, ghi nhớ hoặc ủy quyền giao dịch. Tương tự như các cuộc tấn công lỗ hổng hợp đồng, các cuộc tấn công lừa đảo cho thấy tỷ lệ mắc bệnh cao và tổn thất cao trong quý 3. Tổng cộng có 107 cuộc tấn công lừa đảo đã xảy ra, trong đó 58 vụ xảy ra vào tháng Bảy.

Hình dạng: Số lần tấn công lừa đảo và tổn thất mỗi quý trong Web 3 2023 (triệu đô la)

Hình: Số lượng cuộc tấn công lừa đảo hàng tháng trên Web 3 năm 2023

Phân tích về việc chuyển tài sản trên chuỗi với các cuộc tấn công lừa đảo điển hình

Vào ngày 7 tháng 9 năm 2023, địa chỉ (0x13e382) đã bị tấn công lừa đảo và mất hơn 24 triệu đô la. Hacker lừa đảo đã sử dụng việc đánh cắp quỹ, trao đổi quỹ và chuyển quỹ phi tập trung. Trong số quỹ cuối cùng bị mất, 3.800 ETH đã được chuyển đến Tornado.Cash theo từng lô, 10.000 ETH đã được chuyển đến một địa chỉ trung gian (0x702350), và 1078,087 DAI vẫn còn tại địa chỉ trung gian (0x4F2F02).

Đây là một cuộc tấn công lừa đảo điển hình. Bằng cách lấy cắp tài sản người dùng bằng cách lừa đảo quyền ủy quyền ví hoặc khóa riêng, các kẻ tấn công đã hình thành một chuỗi ngành công nghiệp đen của lừa đảo + rửa tiền. Hiện nay, ngày càng có nhiều băng đảng lừa đảo và thậm chí cả các hacker quốc gia sử dụng phương pháp lừa đảo để phạm tội trong lĩnh vực Web3, điều này đòi hỏi sự chú ý và cảnh giác của tất cả mọi người.

Theo nền tảng phân tích dữ liệu lớn trên chuỗi của SharkTeam ChainAegis (https://app.chainaegis.com/)Trong phân tích tiếp theo, chúng tôi sẽ phân tích quá trình gian lận của các cuộc tấn công lừa đảo điển hình, việc chuyển khoản và hành vi trên chuỗi của kẻ gian lận.

(1) Quy trình tấn công lừa đảo

Địa chỉ nạn nhân (0x13e382) cấp rETH và stETH cho địa chỉ kẻ lừa đảo 1 (0x4c10a4) qua ‘Tăng Số phép’.

Địa chỉ của kẻ lừa đảo 1 (0x4c10a4) đã chuyển 9.579 stETH từ tài khoản của nạn nhân (0x13e382) sang địa chỉ của kẻ lừa đảo 2 (0x693b72) với số tiền khoảng 15,32 triệu đô la.

Địa chỉ của kẻ lừa đảo 1 (0x4c10a4) đã chuyển 4.850 rETH từ tài khoản của nạn nhân (0x13e382) sang địa chỉ của kẻ lừa đảo 2 (0x693b72) với số tiền khoảng 8,41 triệu đô la.

(2) Trao đổi và chuyển khoản tài sản

Trao đổi stETH và rETH bị đánh cắp cho ETH. Bắt đầu từ sáng sớm ngày 7 tháng 9 năm 2023, địa chỉ 2 (0x693b72) của kẻ lừa đảo đã thực hiện nhiều giao dịch trao đổi trên các nền tảng UniSwapV2, UniSwapv3 và Curve tương ứng, trao đổi tất cả 9.579 stETH và 4.850 rETH thành ETH, với tổng số 14.783,9413 ETH.

Sàn giao dịch stETH:

Sàn giao dịch rETH:

Đổi một số ETH lấy DAI. Địa chỉ 2 (0x693b72) của kẻ lừa đảo đã đổi 1.000 ETH lấy 1.635.047,761675421713685327 thông qua nền tảng UniSwapv3 DAI. Những kẻ lừa đảo đã sử dụng chuyển tiền phi tập trung đến nhiều địa chỉ ví trung gian, tổng cộng 1.635.139 DAI và 13.785 ETH. Trong số này, 1.785 ETH đã được chuyển đến địa chỉ trung gian (0x4F2F02), 2.000 ETH được chuyển đến địa chỉ trung gian (0x2ABDC2) và 10.000 ETH được chuyển đến địa chỉ trung gian (0x702350). Ngoài ra, địa chỉ trung gian (0x4F2F02) đã nhận được 1.635.139 DAI vào ngày hôm sau

Chuyển khoản quỹ đến địa chỉ ví trung gian (0x4F2F02):

Địa chỉ đã trải qua việc chuyển quỹ theo tầng và có 1.785 ETH và 1.635.139 DAI. Việc chuyển quỹ phi tập trung của DAI, và một số lượng nhỏ được chuyển đổi thành ETH

Đầu tiên, những kẻ lừa đảo bắt đầu chuyển 529,000 DAI thông qua 10 giao dịch vào sáng sớm ngày 07-09-2023. Sau đó, 7 giao dịch đầu tiên tổng cộng 452,000 DAI đã được chuyển từ địa chỉ trung gian đến 0x4E5B2E (fixedFloat), giao dịch thứ tám từ địa chỉ trung gian đến 0x6CC5F6 (OKX), và 2 giao dịch cuối cùng tổng cộng 77,000 DAI đã được chuyển từ địa chỉ trung gian đến 0xF1DA17 (exCH).

Vào ngày 10 tháng 9, 28.052 DAI được đổi lấy 17.3 ETH thông qua UniswapV2.

Từ ngày 8 tháng 9 đến ngày 11 tháng 9, đã được thực hiện 18 giao dịch, và tất cả 1.800 ETH đã được chuyển đến Tornado.Cash.

Sau khi chuyển khoản, địa chỉ cuối cùng đã để lại số tiền bị đánh cắp là 1078,087 DAI không được chuyển khoản.

Chuyển khoản tiền đến địa chỉ trung gian (0x2ABDC2):

Địa chỉ đã được chuyển qua một tầng quỹ và có 2,000 ETH. Đầu tiên, địa chỉ đã chuyển 2000ETH đến một địa chỉ trung gian (0x71C848) vào ngày 11 tháng 9.

Địa chỉ trung gian (0x71C848) sau đó chuyển tiền thông qua hai lần chuyển tiền vào ngày 11 tháng 9 và ngày 1 tháng 10, mỗi lần 20 giao dịch, mỗi giao dịch 100 ETH, tổng cộng 2000 ETH cho Tornado.Cash.

Địa chỉ đã được chuyển qua một cấp quỹ và nắm giữ 10.000 ETH. Tính đến ngày 08/10/2023, 10.000 ETH vẫn chưa được chuyển vào tài khoản của địa chỉ này.

Theo dõi dấu vết địa chỉ: Sau khi phân tích các giao dịch lịch sử của địa chỉ 1 của kẻ lừa đảo (0x4c10a4) và địa chỉ 2 của kẻ lừa đảo (0x693b72), đã phát hiện rằng địa chỉ EOA (0x846317) đã chuyển 1.353 ETH đến địa chỉ 2 của kẻ lừa đảo (0x693b72), và nguồn vốn cho địa chỉ EOA này liên quan đến các địa chỉ ví nóng của sàn giao dịch tập trung KuCoin và Binance.

III. Rugpull and Fraud

Tần suất các vụ lừa đảo Rugpull vào năm 2023 cho thấy một xu hướng tăng đáng kể. Q4 đạt 73 trường hợp, với số tiền mất là 19 triệu đô la Mỹ, với mức mất trung bình khoảng 26.000 đô la Mỹ. Quý có tỷ lệ mất lớn nhất do lừa đảo Rugpull trong cả năm là Q2, tiếp theo là Q3, chiếm hơn 30% tổng số mất mát.

Trong nửa cuối năm 2023, đã xảy ra tổng cộng 139 trường hợp Rugpull và 12 trường hợp gian lận, dẫn đến tổng thiệt hại lần lượt là $71.55 triệu và $340 triệu.

Sự kiện rút lòi chủ yếu xảy ra trên BNBChain trong nửa cuối năm 2023, đạt 91 lần, chiếm hơn 65%, và tổn thất lên đến 29,57 triệu đô la, chiếm 41% tổn thất. Ethereum (44 lần) tiếp theo, với tổn thất là 7,39 triệu đô la. Ngoài Ethereum và BNBChain, sự cố Rút lòi BALD xảy ra trên Mạng Lưới Cơ Bản vào tháng 8, gây tổn thất nghiêm trọng lên đến 25,6 triệu đô la.

Hình: Số vụ Rugpull và Scam và tổn thất hàng quý cho Web 3 năm 2023 (triệu đô la)

Hình: Số lượng các vụ Rugpull và Scam và số tiền mất mát hàng tháng trên Web 3 2023H2

Hình: Số lượng sự cố Rugpull hàng tháng và số tiền mất trong các chuỗi Web 3 2023H2 khác nhau

Phân tích hành vi xưởng lừa đảo Rugpull

Một mô hình nhà máy gian lận Rug phổ biến trên BNBChain để sản xuất hàng loạt mã thông báo Rugpull và thực hiện hành vi gian lận. Chúng ta hãy xem xét mô hình gian lận nhà máy Rugpull của mã thông báo SEI, X, TIP và Blue giả.

(1) SEI

Đầu tiên, chủ sở hữu token SEI giả mạo 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 đã trao đổi 249 SEI giả mạo cho 1U.

Sau đó, 0x6f9963448071b88fb23fd9971d24a87e5244451A thực hiện các hoạt động mua và bán số lượng lớn. Theo các hoạt động mua và bán, tính thanh khoản của mã thông báo tăng lên rõ rệt và giá cũng tăng lên.

Qua hình thức lừa đảo và các phương pháp quảng bá khác, một số lượng lớn người dùng bị cám dỗ mua. Khi thanh khoản tăng lên, giá token tăng gấp đôi.

Khi giá của token đạt một giá trị nhất định, chủ sở hữu token nhập thị trường và bán để thực hiện một hoạt động Rugpull. Như có thể thấy từ hình ảnh dưới đây, giai đoạn thu hoạch nhập và giá cả khác nhau hoàn toàn.

(2) X giả, TIP giả, Blue giả

Đầu tiên, các chủ sở hữu token X, TIP và Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 đã trao đổi 1U để nhận được token tương ứng. Sau đó, giống như một token Sei giả mạo.

0x6f9963448071b88fb23fd9971d24a87e5244451A các hoạt động mua và bán số lượng lớn. Dưới hoạt động mua và bán, thanh khoản tăng rõ rệt và giá tăng.

Sau đó, nó được quảng cáo thông qua lừa đảo và các kênh khác để kích thích một lượng lớn người dùng thực hiện mua sắm. Khi tính thanh khoản tăng lên, giá token tăng gấp đôi.

Như một SEI giả mạo, khi giá token đạt một giá trị nhất định, chủ sở hữu token bước vào thị trường để bán và thực hiện một phương thức Rugpull. Như có thể thấy từ hình ảnh dưới đây, giai đoạn thu hoạch và giá nhập cảnh đều khác nhau.

Biểu đồ biến động cho các token giả SEI, giả X, giả TIP và giả Blue như sau:

Chúng ta có thể học hỏi từ sự truy xuất của quỹ và các mẫu hành vi:

Trong nội dung về việc truy xuất quỹ, nguồn tiền của người tạo ra nhà máy tiền và người tạo ra token đến từ nhiều tài khoản EOA khác nhau. Cũng có các giao dịch tài chính giữa các tài khoản khác nhau. Một số trong số chúng được chuyển qua các địa chỉ lừa đảo, một số được thu được thông qua các token Rugpull trước đó, và một số khác được thu được thông qua các nền tảng kết hợp như Tornado Cash. Việc chuyển quỹ theo nhiều cách nhằm mục đích xây dựng các mạng lưới tài chính phức tạp và tinh vi. Nhiều địa chỉ cũng đã tạo ra nhiều hợp đồng nhà máy token và sản xuất hàng loạt token.

Khi phân tích hành vi của token Rugpull, chúng tôi đã tìm thấy địa chỉ

0x6f9963448071b88fb23fd9971d24a87e5244451a là một trong các nguồn vốn. Phương pháp batch cũng được sử dụng để thao tác giá token. Địa chỉ 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 cũng hoạt động như một nhà cung cấp vốn, cung cấp vốn tương ứng cho nhiều chủ sở hữu token.

Thông qua phân tích, có thể thấy rằng sau loạt hành vi này là một băng đảng lừa đảo Web3 với sự phân chia rõ ràng về lao động, hình thành một chuỗi công nghiệp đen. Đó chủ yếu là việc thu thập điểm nóng, phát hành đồng tiền tự động, giao dịch tự động, quảng cáo giả mạo, tấn công lừa đảo và thu hoạch Rugpull, chủ yếu xảy ra trên BNBChain. Các token Rugpull giả mạo phát hành đều liên quan chặt chẽ đến các sự kiện nóng trong ngành và rất gây hiểu lầm và khuyến khích. Người dùng nên luôn tỉnh táo, hợp lý và tránh mất mát không cần thiết.

IV. Ransomware

Mối đe dọa tấn công ransomware trong năm 2023 tiếp tục đe dọa các tổ chức và doanh nghiệp mọi lúc. Các cuộc tấn công ransomware đang trở nên tinh vi hơn và những kẻ tấn công sử dụng nhiều kỹ thuật khác nhau để khai thác lỗ hổng trong hệ thống tổ chức và mạng. Các cuộc tấn công ransomware gia tăng tiếp tục gây ra mối đe dọa lớn cho các tổ chức kinh doanh, cá nhân và cơ sở hạ tầng quan trọng trên toàn thế giới. Những kẻ tấn công liên tục thích nghi và tinh chỉnh các chiến lược tấn công của chúng, sử dụng mã nguồn bị rò rỉ, các kế hoạch tấn công thông minh và các ngôn ngữ lập trình mới nổi để tối đa hóa lợi nhuận bất hợp pháp của chúng.

LockBit, ALPHV / BlackCat và BlackBasta hiện là các tổ chức ransomware ransomware tích cực nhất.

Hình: Số nạn nhân của các tổ chức tống tiền

Hiện nay, ngày càng có nhiều ransomware sử dụng phương thức thanh toán tiền điện tử. Lấy Lockbit làm ví dụ. Các công ty gần đây bị tấn công bởi Lockbit bao gồm TSMC vào cuối tháng 6 năm nay, Boeing vào tháng 10, và chi nhánh trực thuộc hoàn toàn của Mỹ của Ngân hàng Công thương Trung Quốc vào tháng 11. Hầu hết họ sử dụng Bitcoin để thu tiền chuộc, và LockBit sẽ rửa tiền tiền điện tử sau khi nhận tiền chuộc. Hãy phân tích mô hình rửa tiền tiền điện tử của ransomware bằng cách sử dụng Lockbit làm ví dụ.

Theo phân tích của ChainAegis, ransomware LockBit chủ yếu sử dụng BTC để thu tiền chuộc, sử dụng các địa chỉ thanh toán khác nhau. Một số địa chỉ và số tiền thanh toán được sắp xếp như sau. Các BTC trong một lần tống tiền dao động từ 0,07 đến 5,8, dao động từ khoảng 2.551 đô la đến 211.311 đô la.

Hình: Địa chỉ thanh toán một phần của LockBit và số tiền thanh toán

Theo dõi địa chỉ trên chuỗi và phân tích chống rửa tiền đã được thực hiện bằng cách sử dụng hai địa chỉ có số lượng lớn nhất liên quan:

Địa chỉ nhận tiền chuộc 1: 1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Địa chỉ Người Nhận Tiền Chuộc 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Địa chỉ thu tiền chuộc 1: 1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Theo phân tích dưới đây, Địa chỉ 1 (1Ptfhw) đã nhận được tổng cộng 17 giao dịch on-chain từ ngày 25/3/2021 đến ngày 15/5/2021. Sau khi nhận được tiền, tài sản nhanh chóng được chuyển đến 13 địa chỉ trung gian cốt lõi. Các địa chỉ trung gian này được chuyển qua lớp tài trợ đến 6 địa chỉ trung gian cấp hai, cụ thể là: 3fVzPx... cuVH, 1gVKmU... Bbs1, bc1qdse... Ylky, 1Gucci... vSGB, bc1qan... 0ac4 và 13CPvF... Lpdp.

Địa chỉ trung gian 3fVzPx... cuvH, thông qua phân tích trên chuỗi, người ta phát hiện ra rằng luồng cuối cùng của nó đến địa chỉ web tối 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P đã được phát hiện.

Địa chỉ trung gian 13cPVf… Lpdp chuyển một số lượng nhỏ 0.00022 BTC đến CoinPayments. Có 500 giao dịch tương tự, và tổng cộng 0.21 BTC đã được thu vào địa chỉ CoinPayments: bc1q3y… 7y88 để rửa tiền bằng cách sử dụng CoinPayments.

Các địa chỉ trung gian khác cuối cùng đã chảy vào các sàn giao dịch tập trung Binance và Bitfinex.

Hình: Địa chỉ 1 (1Ptfhw… hPEM) Chi tiết Nguồn vốn và Chi tiêu

Hình: Theo dõi luồng tiền của địa chỉ 1 (1Ptfhw… hPem)

Hình: Chi tiết về địa chỉ trung gian và luồng tiền liên quan đến địa chỉ 1 (1Ptfhw… hPEM)

Hình: Bản đồ giao dịch của Địa chỉ 1 (1Ptfhw… hPEM)

(2) Địa chỉ nhận tiền của vụ trọng án 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

Nạn nhân đã thanh toán 4,16 BTC cho nhà điều hành khống chế LockBit trong 11 giao dịch từ ngày 24 tháng 5 năm 2021 đến ngày 28 tháng 5 năm 2021. Ngay lập tức, địa chỉ 2 (1hpz7rn… vVPH) nhanh chóng chuyển 1,89 BTC của số tiền chuộc đến địa chỉ trung gian 1: bc1qan… 0ac4, 1,84 đến địa chỉ trung gian 2:112qjqj… Sdha, 0,34 Sản phẩm đi đến địa chỉ trung gian 3:19Uxbt… 9rdF.

Địa chỉ trung gian cuối cùng 2:112qJqj… Sdha và địa chỉ trung gian 3:19Uxbt… 9rdF đều chuyển quỹ đến địa chỉ trung gian 1: bc1qan… 0ac4. Ngay sau đó, địa chỉ trung gian 1 bc1qan… 0ac4 tiếp tục chuyển quỹ. Một phần nhỏ quỹ được chuyển trực tiếp đến sàn giao dịch Binance, và phần còn lại của quỹ được chuyển từng lớp qua địa chỉ trung gian, và cuối cùng được chuyển đến Binance và các nền tảng khác để rửa tiền. Chi tiết giao dịch cụ thể và thẻ địa chỉ như sau.

Hình: Địa chỉ 2 (1hpz7rn... vVPH) Nguồn tài trợ và chi tiết dòng vốn

Hình: Theo dõi luồng tiền tài địa chỉ 2 (1hpz7rn… vVPH)

Hình ảnh: Chi tiết về địa chỉ trung gian và luồng tiền liên quan đến địa chỉ 2 (1hpz7rn… vVPH)

LockBit sẽ rửa tiền điện tử sau khi nhận được tiền chuộc. Không giống như các phương pháp rửa tiền truyền thống, mô hình rửa tiền này thường xảy ra trên blockchain. Nó có đặc điểm là chu kỳ dài, quỹ phân tán, tự động hóa cao và độ phức tạp cao. Để thực hiện giám sát tiền điện tử và theo dõi quỹ, một mặt, cần xây dựng khả năng phân tích và pháp y trên chuỗi và ngoài chuỗi, mặt khác, cần phải thực hiện các cuộc tấn công và phòng thủ bảo mật cấp APT ở cấp độ an ninh mạng, với khả năng tích hợp tấn công và phòng thủ.

5. TIỀN ĐIỆN TỬ GIẶT

Rửa tiền (rửa tiền) là hành vi hợp pháp hóa tiền bất hợp pháp. Điều này chủ yếu đề cập đến việc hợp pháp hóa chính thức các nguồn tiền bất hợp pháp và các nguồn tiền được tạo ra bằng cách che giấu nguồn gốc và tính chất của nguồn tiền bất hợp pháp thông qua các phương tiện khác nhau. Những hành vi này bao gồm, nhưng không giới hạn ở việc cung cấp tài khoản tài chính, hỗ trợ trong việc chuyển đổi hình thức tài sản và hỗ trợ trong việc chuyển tiền hoặc chuyển tiền ra nước ngoài. Tuy nhiên, tiền điện tử — đặc biệt là stablecoins — đã được sử dụng để rửa tiền trong một thời gian khá lâu do chi phí chuyển tiền thấp, degeolocation và một số tính chất chống kiểm duyệt, đó là một trong những lý do chính khiến tiền điện tử bị chỉ trích.

Các hoạt động rửa tiền truyền thống thường sử dụng thị trường OTC tiền điện tử để trao đổi fiat sang tiền điện tử hoặc từ tiền điện tử sang fiat. Trong số đó, các kịch bản rửa tiền là khác nhau và các hình thức rất đa dạng, nhưng bất kể bản chất của các hành vi đó, chúng nhằm mục đích ngăn chặn việc điều tra các liên kết vốn của các quan chức thực thi pháp luật, bao gồm tài khoản tổ chức tài chính truyền thống hoặc tài khoản tổ chức mật mã.

Khác với các hoạt động rửa tiền tiền tệ truyền thống, mục tiêu của loại hoạt động rửa tiền tiền điện tử mới là tiền điện tử chính nó, và cơ sở hạ tầng của ngành công nghiệp tiền điện tử, bao gồm ví tiền điện tử, cầu nối qua chuỗi, nền tảng giao dịch phi tập trung, v.v., sẽ được sử dụng một cách bất hợp pháp.

Hình: Số tiền được rửa qua trong những năm gần đây

Từ năm 2016 đến năm 2023, tiền điện tử đã rửa tổng cộng 147,7 tỷ USD. Kể từ năm 2020, lượng tiền rửa tiếp tục tăng với tốc độ 67% mỗi năm, đạt 23,8 tỷ USD vào năm 2022 và đạt tới 80 tỷ USD vào năm 2023. Số tiền được rửa là đáng kinh ngạc, và các hành động chống rửa tiền là bắt buộc.

Theo thống kê từ nền tảng ChainAegis, số lượng quỹ trên nền tảng trộn coin on-chain Tornado Cash đã duy trì sự tăng trưởng nhanh chóng từ tháng 1 năm 2020. Hiện tại, gần 3,62 triệu ETH đã được gửi vào quỹ này, với tổng số tiền gửi là 7,8 tỷ đô la Mỹ. Tornado Cash đã trở thành trung tâm rửa tiền lớn nhất của Ethereum. Tuy nhiên, khi cơ quan thực thi pháp luật Mỹ ban hành một văn bản trừng phạt Tornado Cash vào tháng 8 năm 2022, số lượng gửi và rút tiền hàng tuần từ Tornado Cash đã giảm một cách đáng kể, nhưng do tính phân cấp của Tornado Cash, không thể ngăn chặn chúng từ nguồn gốc, và tiền vẫn tiếp tục đổ vào hệ thống để trộn coin.

Phân tích mô hình rửa tiền của Lazarus Group (Tổ chức APT Bắc Triều Tiên)

Các tổ chức APT quốc gia (Advanced Persistent Threat) là các nhóm hacker hàng đầu với sự hỗ trợ nền tảng quốc gia nhắm vào các mục tiêu cụ thể trong một thời gian dài. Tổ chức APT của Triều Tiên Lazarus Group là một băng đảng APT rất tích cực. Mục đích chính của cuộc tấn công là đánh cắp tiền, có thể được gọi là mối đe dọa lớn nhất đối với các tổ chức tài chính toàn cầu. Họ chịu trách nhiệm cho nhiều cuộc tấn công và các trường hợp trộm cắp vốn trong lĩnh vực tiền điện tử trong những năm gần đây.

Các sự cố an ninh và mức độ tổn thất của các cuộc tấn công của Lazarus vào lĩnh vực mật mã mà đã được đếm rõ ràng cho đến nay là như sau:

Hơn 3 tỷ đô la Mỹ tiền đã bị Lazarus đánh cắp trong một cuộc tấn công mạng. Theo báo cáo, nhóm tin tặc Lazarus được hỗ trợ bởi lợi ích chiến lược của Triều Tiên để tài trợ cho các chương trình tên lửa đạn đạo và hạt nhân của Triều Tiên. Cuối cùng, Mỹ đã công bố phần thưởng 5 triệu USD để trừng phạt nhóm hacker Lazarus. Bộ Tài chính Hoa Kỳ cũng đã thêm các địa chỉ liên quan vào danh sách Công dân được chỉ định đặc biệt (SDN) của OFAC, cấm các cá nhân, tổ chức và địa chỉ liên quan của Hoa Kỳ giao dịch để đảm bảo rằng các nhóm được nhà nước tài trợ không thể mua lại các khoản tiền này, do đó áp đặt các biện pháp trừng phạt. Nhà phát triển Ethereum Virgil Griffith đã bị kết án 5 năm 3 tháng tù vì giúp Triều Tiên trốn tránh các lệnh trừng phạt bằng tiền ảo. Năm 2023, OFAC cũng xử phạt ba người liên quan đến Tập đoàn Lazarus. Hai trong số những người bị trừng phạt, Cheng Hung Man và Wu Huihui, là các nhà giao dịch OTC tạo điều kiện cho các giao dịch tiền điện tử cho Lazarus, trong khi một bên thứ ba, Sim Hyon Sop, cung cấp Hỗ trợ tài chính khác.

Tuy nhiên, Lazarus đã hoàn thành hơn 1 tỷ đô la trong việc chuyển nhượng tài sản và làm sạch tiền bẩn, và mô hình rửa tiền của họ được phân tích dưới đây. Hãy lấy sự cố Ví Atomic làm ví dụ. Sau khi loại bỏ các yếu tố gây nên sự cố kỹ thuật do hacker tạo ra (một số lượng lớn giao dịch chuyển token giả mạo + phân chia địa chỉ nhiều lần), mô hình chuyển tiền của hacker có thể được xác định:

Hình: Xem Chuyển Khoản Quỹ Nạn Nhân 1 trên Ví Atomic

Nạn nhân 1 chuyển 304.36 ETH từ địa chỉ 0xb02d... c6072 đến địa chỉ của hacker 0x3916... 6340, và sau 8 lần thanh toán thông qua địa chỉ trung gian 0x0159... 7b70, nó quay trở lại địa chỉ 0x69ca... 5324. Số tiền được thu đã được chuyển đến địa chỉ 0x514c... 58f67. Hiện tại, số tiền vẫn đang ở địa chỉ này, và số dư ETH của địa chỉ là 692.74 ETH (trị giá 1.27 triệu đô la).

Hình ảnh: Xem chuyển khoản quỹ nạn nhân 2 của Atomic Wallet

Nạn nhân 2 đã chuyển 1.266,000 USDT từ địa chỉ 0x0b45... d662 đến địa chỉ của hacker 0xf0f7... 79b3. Hacker đã chia thành ba giao dịch, hai trong số đó đã được chuyển đến Uniswap, tổng cộng 1.266.000 USDT; giao dịch còn lại đã được chuyển đến địa chỉ 0x49ce… 80fb, với số lượng chuyển là 672.71 ETH. Nạn nhân 2 đã chuyển 22.000 USDT đến địa chỉ của hacker 0x0d5a… 08c2. Hacker đã thu thập tiền trực tiếp hoặc gián tiếp đến địa chỉ 0x3c2e… 94a8 thông qua nhiều đợt thông qua các địa chỉ trung gian 0xec13... 02d6, v.v.

Mô hình rửa tiền này rất phù hợp với mô hình rửa tiền trong các cuộc tấn công trước đó của Mạng Ronin và Harmony, và tất cả đều bao gồm ba bước:

(1) Tổng hợp và trao đổi quỹ đánh cắp: Sau khi cuộc tấn công được tiến hành, các token gốc bị đánh cắp được sắp xếp, và các token khác được đổi sang ETH thông qua DEX và các phương pháp khác. Đây là cách phổ biến để né tránh việc đóng băng quỹ.

(2) Thu thập quỹ bị đánh cắp: Thu thập ETH đã sắp xếp vào một số địa chỉ ví có thể sử dụng. Trong vụ việc Ronin, những kẻ hack đã chia sẻ 9 địa chỉ như vậy, Harmony đã sử dụng 14, và vụ việc ví Atomic đã sử dụng gần 30 địa chỉ.

(3) Chuyển khoản từ quỹ bị đánh cắp: Sử dụng địa chỉ thu thập để rửa tiền thông qua Tornado.Cash. Điều này hoàn thành toàn bộ quá trình chuyển khoản tiền.

Ngoài việc có cùng các bước rửa tiền, còn có một mức độ nhất quán cao trong các chi tiết về rửa tiền:

(1) Các kẻ tấn công rất kiên nhẫn. Tất cả đều mất đến một tuần để thực hiện các hoạt động rửa tiền, và tất cả bắt đầu thực hiện các hoạt động rửa tiền theo dõi vài ngày sau khi sự cố xảy ra.

(2) Các giao dịch tự động được sử dụng trong quá trình rửa tiền. Hầu hết các hoạt động thu tiền có một số lượng giao dịch lớn, khoảng thời gian ngắn và một mô hình đồng nhất.

Thông qua phân tích, chúng tôi tin rằng mô hình rửa tiền của Lazarus nói chung như sau:

(1) Chia tài khoản và chuyển tài sản thành số lượng nhỏ và nhiều giao dịch để làm cho việc theo dõi khó khăn hơn.

(2) Bắt đầu sản xuất một số lượng lớn giao dịch tiền giả để làm cho việc theo dõi trở nên khó khăn hơn. Lấy sự cố Ví Atomic làm ví dụ, 23 trong số 27 địa chỉ trung gian đều là địa chỉ chuyển tiền giả mạo. Công nghệ tương tự đã được phát hiện gần đây trong phân tích sự cố Stake.com, nhưng sự cố trước đó của Mạng Ronin và Harmony không có công nghệ can thiệp này, điều đó cho thấy rằng công nghệ rửa tiền của Lazarus cũng đã được nâng cấp.

(3) Có thêm các phương pháp trên chuỗi (như Tonado Cash) được sử dụng để trộn tiền điện tử. Trong các sự cố sớm, Lazarus thường sử dụng các sàn giao dịch tập trung để có vốn khởi nghiệp hoặc thực hiện OTC sau đó, nhưng gần đây ít và ít sàn giao dịch tập trung được sử dụng, và thậm chí có thể nghĩ rằng họ đang cố gắng tránh việc sử dụng sàn giao dịch tập trung càng nhiều càng tốt. Điều này có thể liên quan đến một số vụ việc trừng phạt gần đây.

VI. Biện pháp trừng phạt và Quy định

Các cơ quan như Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ và các cơ quan tương tự ở các quốc gia khác áp dụng các biện pháp trừng phạt đối với các quốc gia, chế độ, cá nhân và thực thể được coi là mối đe dọa đối với an ninh quốc gia và chính sách đối ngoại. Theo truyền thống, việc thực thi các biện pháp trừng phạt dựa vào sự hợp tác của các tổ chức tài chính chính thống, nhưng một số tác nhân xấu đã chuyển sang tiền điện tử để phá vỡ các trung gian bên thứ ba này, tạo ra những thách thức mới cho các nhà hoạch định chính sách và các cơ quan xử phạt. Tuy nhiên, tính minh bạch vốn có của tiền điện tử và ý chí tuân thủ các dịch vụ tiền điện tử, đặc biệt là nhiều sàn giao dịch tập trung hoạt động như một liên kết giữa tiền điện tử và tiền tệ fiat, đã chứng minh rằng việc áp đặt các biện pháp trừng phạt là có thể trong thế giới tiền điện tử.

Dưới đây là một cái nhìn về một số cá nhân hoặc tổ chức liên quan đến tiền điện tử bị trừng phạt tại Hoa Kỳ vào năm 2023, và lý do của các biện pháp trừng phạt của OFAC.

Tether, công ty đứng sau stablecoin lớn nhất thế giới, thông báo vào ngày 9 tháng 12 năm 2023, rằng họ sẽ “đóng băng” token trong ví của những người bị trừng phạt trên danh sách cá nhân bị trừng phạt của Văn phòng Kiểm soát Tài sản Nước ngoài Hoa Kỳ (OFAC). Trong thông báo của mình, Tether xem xét bước này là một biện pháp tự nguyện để “ngăn ngừa tiềm năng lạm dụng token Tether và tăng cường biện pháp bảo mật.”

Điều này cũng cho thấy việc điều tra và trừng phạt tội phạm tiền điện tử đã bước vào một giai đoạn đáng kể. Hợp tác giữa các doanh nghiệp cốt lõi và các cơ quan thực thi pháp luật có thể hình thành các biện pháp trừng phạt hiệu quả để theo dõi và trừng phạt tội phạm tiền điện tử.

Về quy định Web3 vào năm 2023, Hồng Kông cũng đã đạt được tiến bộ đáng kể, và đang kêu gọi “phát triển tuân thủ” thị trường Web3 và tiền điện tử. Khi Ngân hàng Trung ương Singapore bắt đầu hạn chế khách hàng bán lẻ sử dụng đòn bẩy hoặc tín dụng cho giao dịch tiền điện tử vào năm 2022, Chính phủ Hồng Kông đã ban hành “Tuyên bố Chính sách về Phát triển Tài sản Ảo tại Hồng Kông”, và một số tài năng và công ty Web3 đã đến một đất nước hứa hẹn mới.

Vào ngày 1 tháng 6 năm 2023, Hồng Kông đã hoàn thành tự thân và ban hành “Hướng dẫn cho các nhà điều hành nền tảng giao dịch Tài sản ảo”. Hệ thống cấp phép nền tảng giao dịch tài sản ảo đã chính thức triển khai, và các giấy phép lớp 1 (giao dịch chứng khoán) và lớp 7 (cung cấp dịch vụ giao dịch tự động) đã được cấp.

Hiện tại, các tổ chức như OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus và DFX Labs đang tích cực xin giấy phép nền tảng giao dịch tài sản ảo (VASP).

Giám đốc điều hành Li Jiachao, Bộ trưởng Tài chính Chen Maobo và những người khác thường xuyên lên tiếng thay mặt chính phủ Hồng Kông để hỗ trợ việc ra mắt Web3 tại Hồng Kông và thu hút các công ty và tài năng tiền điện tử từ khắp nơi trên thế giới xây dựng. Về hỗ trợ chính sách, Hồng Kông đã giới thiệu hệ thống cấp phép cho các nhà cung cấp dịch vụ tài sản ảo, cho phép các nhà đầu tư bán lẻ giao dịch tiền điện tử, ra mắt quỹ hệ sinh thái Web3 Hub trị giá 10 triệu đô la và có kế hoạch đầu tư hơn 700 triệu đô la Hồng Kông để đẩy nhanh sự phát triển của nền kinh tế kỹ thuật số và thúc đẩy sự phát triển của ngành công nghiệp tài sản ảo. Nó cũng đã thành lập một lực lượng đặc nhiệm phát triển Web 3.0.

Tuy nhiên, khi những bước tiến quan trọng đang được thực hiện, các sự kiện rủi ro cũng tận dụng đà này. Sàn giao dịch tiền điện tử không có giấy phép JPEX liên quan đến hơn 1 tỷ HK$, vụ lừa đảo HOUNAX liên quan đến hơn 100 triệu nhân dân tệ, HongKongDAO và BitCuped nghi ngờ về gian lận tài sản ảo... Những vụ việc ác độc này đã thu hút sự chú ý lớn từ Ủy ban Chứng khoán Hong Kong và cảnh sát. Ủy ban Chứng khoán Hong Kong cho biết sẽ phát triển hướng dẫn đánh giá rủi ro cho các trường hợp tài sản ảo với cảnh sát và trao đổi thông tin hàng tuần.

Tôi tin rằng trong tương lai gần, một hệ thống quản lý và an ninh hoàn chỉnh hơn sẽ giúp Hồng Kông, như một trung tâm tài chính quan trọng giữa Đông và Tây, mở rộng vòng tay đón nhận Web3.

免责声明：

1. Bài viết này được sao chép từ [aicoin]. Tất cả bản quyền thuộc về tác giả gốc [SharkTeam]. Nếu có ý kiến ​​phản đối về việc tái in này, vui lòng liên hệ với Học Cửađội ngũ, và họ sẽ xử lý nhanh chóng.
2. Bảng từ chối trách nhiệm: Các quan điểm và ý kiến được thể hiện trong bài viết này chỉ là của tác giả và không hề tạo thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi có nêu rõ, việc sao chép, phân phối hoặc đạo văn các bài viết dịch là không được phép.