Em 2023, a indústria Web3 sofreu mais de 940 incidentes de segurança, grandes e pequenos, o que representou um aumento de mais de 50% em comparação com 2022, e perdeu $1,79 bilhão. Entre eles, o terceiro trimestre teve o maior número de incidentes de segurança (360 casos) e a maior perda (7,4 bilhões de dólares), e as perdas aumentaram 47% em relação a 2022. Em particular, em julho, ocorreram 187 incidentes de segurança, e as perdas totalizaram US$350 milhões.

Figura: Número de incidentes de segurança trimestrais/mensais para Web 3 2023

Figura: Web 3 2023 perdas trimestrais/mensais por incidentes de segurança (em milhões de dólares)

Em primeiro lugar, os ataques de hackers ainda são uma das principais causas de perdas significativas. Houve 216 incidentes de hacking ao longo de 2023, causando $1.06 bilhão em perdas. Violações de contrato, roubo de chaves privadas, ataques de phishing e hacking nacional ainda são razões importantes que ameaçam a segurança do ecossistema Web3.

Em segundo lugar, os golpes de liquidez e fraude no tesouro estão aumentando. Houve 250 casos de golpes e fraudes em 2023, com a ocorrência mais frequente desses incidentes na BNBChain. Projetos fraudulentos atraem investidores para participar postando projetos de criptomoedas aparentemente atraentes e fornecendo alguma liquidez falsa. Uma vez que fundos suficientes são atraídos, todos os fundos são subitamente roubados e os ativos são transferidos. Esse tipo de fraude causa sérias perdas financeiras aos investidores e também aumenta consideravelmente a dificuldade dos investidores em escolher o projeto certo.

Além disso, o ransomware está em alta usando criptomoedas para coletar resgates, como Lockbit, Conti, Suncrypt e Monti. Criptomoeda é mais difícil de rastrear do que dinheiro fiduciário, e como usar ferramentas de análise on-chain para rastrear e localizar grupos de ransomware também está se tornando mais importante.

Finalmente, em atividades criminosas como ataques de hackers de criptomoedas e extorsões fraudulentas, os criminosos frequentemente precisam lavar dinheiro por meio de transferências de fundos on-chain e OTC após obterem criptomoedas. A lavagem de dinheiro geralmente utiliza uma mistura de métodos descentralizados e centralizados. As exchanges centralizadas são os locais mais concentrados para a lavagem de dinheiro, seguidas pelas plataformas de mistura de moedas on-chain.

2023 também é um ano de desenvolvimento substancial na regulamentação do Web3. A FTX2.0 foi reiniciada, a Binance foi sancionada, endereços banidos do USDT, como o Hamas, e a SEC aprovou um ETF de Bitcoin spot em janeiro de 2024. Esses eventos marcantes indicam que a regulamentação está profundamente envolvida no desenvolvimento do Web3.

Este relatório conduzirá uma análise sistemática de tópicos-chave, como o ataque de hacking Web3 de 2023, fraude Rugpull, ransomware, lavagem de dinheiro de criptomoeda, regulamentação Web3, etc., para compreender o panorama de segurança do desenvolvimento da indústria de criptomoeda.

1. Brechas no contrato

Os ataques de vulnerabilidade de contrato ocorreram principalmente no Ethereum. No segundo semestre de 2023, 36 ataques de vulnerabilidade de contrato ocorreram no Ethereum, com perdas de mais de 200 milhões de dólares, seguido pelo BNBChain. Em termos de métodos de ataque, falhas de lógica de negócios e ataques de empréstimo flash ainda são os mais comuns.

Figura: Incidentes e Perdas Trimestrais de Hacking da Web 3 de 2023 (em milhões de dólares)

Figura: Número e valor de exploits de contratos mensais e ataques de hacking na Web 3 2023H2

Figura: Número de ataques de exploração de contrato e valores de perda por mês em diferentes cadeias Web 3 2023H2

Figura: O número e o valor das perdas causadas pela vulnerabilidade do contrato Web 3 2023H2 usando métodos de ataque específicos

Análise típica de eventos: vulnerabilidades do Vyper causam ataques a projetos como Curve e JPEG'd

Tomemos o JPEG'd sendo atacado como exemplo:

Endereço do atacante: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Contrato do atacante: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Transações de ataque:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Os atacantes (0x6ec21d18) criaram um contrato 0x466B85B4 e pegaram emprestados 80.000 WETH do [Balancer: Vault] através de empréstimos flash.

(2) Os atacantes (0x6ec21d18) adicionaram 40.000 WETH à piscina de liquidez peth-ETH-F (0x9848482d) e obtiveram 32.431 pETH.

(3) Posteriormente, os atacantes (0x6ec21d18) removeram repetidamente a liquidez do pool de liquidez peth-ETH-F (0x98482D).

(4) No final, os atacantes (0x6ec21d18) obtiveram 86.106 WETH e, após devolverem o empréstimo instantâneo, um lucro de 6.106 WETH deixou o mercado.

Análise de vulnerabilidade: Este ataque é um ataque de reentrada típico. Decompilação em bytecode do contrato do projeto atacado. Podemos ver na figura a seguir: as funções add_liquidity e remove_liquidity não são iguais ao verificar o valor do slot de armazenamento. Usando um slot de armazenamento diferente, o bloqueio de reentrada pode não funcionar. Neste ponto, suspeita-se que seja um bug de design subjacente do Vyper.

Combinado com o tweet oficial da Curve. No final, o alvo foi um bug na versão Vyper. Essa vulnerabilidade existe nas versões 0.2.15, 0.2.16 e 0.3.0, e há uma falha no design do bloqueio de reentrada. Comparamos 0.2.14 e 0.3.0 antes do 0.2.15. Mais tarde, na versão 0.3.1, foi descoberto que esta parte do código estava sendo constantemente atualizada. As versões antigas 0.2.14 e as mais recentes 0.3.1 não tiveram esse problema.

No arquivo de configurações relacionadas ao bloqueio de reentrada data_positions.py correspondente ao Vyper, o valor de storage_slot será sobrescrito. Em ret, o slot que primeiro adquiriu o bloqueio é 0, então quando a função é chamada novamente, o slot de bloqueio será aumentado em 1. Neste ponto, o bloqueio de reentrada expirará.

II. Ataques de phishing

Os ataques de phishing são um tipo de ataque cibernético projetado para enganar e induzir alvos a obter informações sensíveis ou induzi-los a realizar ações maliciosas. Esse tipo de ataque geralmente é realizado por e-mail, mídias sociais, SMS ou outros canais de comunicação. Os atacantes se disfarçam de entidades confiáveis, como partes do projeto, autoridades, KOLs, etc., para atrair as vítimas a fornecer chaves privadas, mnemônicos ou autorização de transação. Semelhante aos ataques de vulnerabilidade de contrato, os ataques de phishing mostraram alta incidência e grandes perdas no terceiro trimestre. Um total de 107 ataques de phishing ocorreram, dos quais 58 ocorreram em julho.

Figura: Número de ataques de phishing e perdas por trimestre na Web 3 2023 (milhões de dólares)

Figura: Número de ataques mensais de phishing na Web 3 2023

Análise das transferências de ativos on-chain de ataques de phishing típicos

Em 7 de setembro de 2023, o endereço (0x13e382) foi atingido por um ataque de phishing e perdeu mais de US$ 24 milhões. Os hackers de phishing usaram roubo de fundos, troca de fundos e transferências de fundos descentralizadas. Dos fundos finais perdidos, 3.800 ETH foram transferidos para a Tornado.Cash em lotes, 10.000 ETH foram transferidos para um endereço intermediário (0x702350), e 1078.087 DAI permanecem no endereço intermediário (0x4F2F02).

Este é um ataque de phishing típico. Ao roubar ativos de usuários fraudando autorizações de carteira ou chaves privadas, os invasores formaram uma cadeia negra de phishing + lavagem de dinheiro. Atualmente, cada vez mais gangues de fraude e até hackers nacionais usam métodos de phishing para cometer crimes no campo da Web3, o que requer atenção e vigilância de todos.

De acordo com a plataforma de análise de big data on-chain da SharkTeam ChainAegis (https://app.chainaegis.com/)Na análise de acompanhamento, analisaremos o processo de fraude de ataques de phishing típicos, a transferência de fundos e o comportamento on-chain dos fraudadores.

(1) Processo de ataque de phishing

O endereço da vítima (0x13e382) concede rETH e stETH ao endereço do scammer 1 (0x4c10a4) via ‘Aumentar a permissão’.

O endereço do golpista 1 (0x4c10a4) transferiu 9.579 stETH da conta do endereço da vítima (0x13e382) para o endereço do golpista 2 (0x693b72) por um valor de aproximadamente US$15,32 milhões.

O endereço do golpista 1 (0x4c10a4) transferiu 4.850 rETH da conta do endereço da vítima (0x13e382) para o endereço do golpista 2 (0x693b72) no valor de aproximadamente $8,41 milhões.

(2) Troca e transferência de ativos

Troque stETH e rETH roubados por ETH. A partir das primeiras horas da manhã de 07-09-2023, o endereço do golpista 2 (0x693b72) realizou várias transações de câmbio nas plataformas UniSwapV2, UniSwapv3 e Curve, respectivamente, trocando todos os 9.579 stETH e 4.850 rETH por ETH, totalizando 14.783,9413 ETH.

troca stETH:

Troca rETH:

Troque um pouco de ETH por DAI. O endereço do golpista 2 (0x693b72) trocou 1.000 ETH por 1.635.047,761675421713685327 via a plataforma UniSwapv3 DAI. Os fraudadores usaram transferências de fundos descentralizadas para vários endereços de carteira intermediários, totalizando 1.635.139 DAI e 13.785 ETH. Destes, 1.785 ETH foram transferidos para um endereço intermediário (0x4F2F02), 2.000 ETH foram transferidos para um endereço intermediário (0x2ABDC2) e 10.000 ETH foram transferidos para um endereço intermediário (0x702350). Além disso, o endereço intermediário (0x4F2F02) recebeu 1.635.139 DAI no dia seguinte

Transferência de fundos do endereço da carteira intermediária (0x4F2F02):

O endereço passou por uma transferência de fundos escalonada e tem 1.785 ETH e 1.635.139 DAI. Transferência descentralizada de fundos DAI, e pequenas quantias convertidas em ETH

Primeiro, os golpistas começaram a transferir 529.000 DAI por meio de 10 transações no início da manhã de 2023-09-07. Posteriormente, os primeiros 7 totais de 452.000 DAIs foram transferidos do endereço intermediário para 0x4E5B2E (fixedFloat), o oitavo, do endereço intermediário para 0x6CC5F6 (OKX), e os últimos 2 totalizaram 77.000 DAIs foram transferidos do endereço intermediário para 0xF1DA17 (exCH).

Em segundo lugar, em 10 de setembro, 28.052 DAI foram trocados por 17,3 ETH via UniswapV2.

De 8 a 11 de setembro, foram realizadas 18 transações e todos os 1.800 ETH foram transferidos para Tornado.Cash.

Após a transferência, o endereço acabou deixando os fundos roubados 1078,087 DAI que não foram transferidos.

Transferência de fundos para um endereço intermediário (0x2ABDC2):

O endereço foi transferido através de um nível de fundos e possui 2.000 ETH. Primeiro, o endereço transferiu 2000ETH para um endereço intermediário (0x71C848) em 11 de setembro.

O endereço intermediário (0x71C848) transferiu então fundos através de duas transferências de fundos em 11 de setembro e 1 de outubro, respectivamente, para um total de 20 transações, 100 ETH cada, totalizando 2000 ETH para Tornado.Cash.

O endereço foi transferido através de um nível de fundos e detém 10.000 ETH. Até 08 de outubro de 2023, 10.000 ETH não foi transferido para a conta deste endereço.

Rastreamento de pista de endereço: Após analisar as transações históricas do endereço do golpista 1 (0x4c10a4) e do endereço do golpista 2 (0x693b72), descobriu-se que um endereço EOA (0x846317) transferiu 1,353 ETH para o endereço do golpista 2 (0x693b72), e a fonte de financiamento para este endereço EOA envolveu os endereços de carteira quente das exchanges centralizadas KuCoin e Binance.

III. Rugpull and Fraude

A frequência de incidentes de fraude Rugpull em 2023 mostrou uma tendência significativamente crescente. O Q4 atingiu 73 casos, com um valor de perda de US$19 milhões, com uma perda única média de cerca de US$26.000. O trimestre com a maior parte das perdas de fraude Rugpull em todo o ano foi o Q2, seguido pelo Q3, que representou mais de 30% das perdas.

Na segunda metade de 2023, houve um total de 139 incidentes de Rugpull e 12 incidentes de fraude, que resultaram em perdas de $71.55 milhões e $340 milhões, respectivamente.

Os eventos de Rugpull ocorreram principalmente na BNBChain na segunda metade de 2023, atingindo 91 vezes, representando mais de 65%, e perdas no valor de $29.57 milhões, representando 41% das perdas. O Ethereum (44 vezes) seguiu, com uma perda de $7.39 milhões. Além do Ethereum e BNBChain, o incidente de Rugpull do BALD ocorreu na Base Chain em agosto, causando sérias perdas de $25.6 milhões.

Figura: Número de incidentes de Rugpull e Scam e perdas por trimestre para a Web 3 2023 (milhões de dólares)

Figura: Número de incidentes de Rugpull e golpes e perdas por mês na Web 3 2023H2

Figura: Número de incidentes mensais de Rugpull e valores perdidos em diferentes cadeias Web 3 2023H2

Análise do comportamento da fábrica de fraude Rugpull

Um modelo de fábrica de fraude Rug é popular na BNBChain para fabricar em massa tokens Rugpull e cometer fraudes. Vamos dar uma olhada no padrão de fraude da fábrica de Rugpull de tokens falsos SEI, X, TIP e Blue.

(1) SEI

Primeiro, o detentor de tokens SEI falso 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 trocou 249 SEIs falsos por 1U.

Em seguida, 0x6f9963448071b88fb23fd9971d24a87e5244451A realizou operações de compra e venda em massa. Sob as operações de compra e venda, a liquidez do token aumentou consideravelmente, e o preço também aumentou.

Através de phishing e outros métodos de promoção, um grande número de usuários é tentado a comprar. À medida que a liquidez aumenta, o preço do token dobra.

Quando o preço do token atinge um determinado valor, o proprietário do token entra no mercado e vende para realizar uma operação Rugpull. Como pode ser visto na imagem abaixo, o período de colheita de entrada e o preço são todos diferentes.

(2) Fake X, falso TIP, falso Blue

Primeiro, os detentores de tokens X, TIP e Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 trocaram 1U pelo token correspondente. Em seguida, assim como um token Sei falso.

0x6f9963448071b88fb23fd9971d24a87e5244451A operações de compra e venda a granel. Nas operações de compra e venda, a liquidez aumentou acentuadamente e os preços subiram.

Foi então promovido por phishing e outros canais para atrair um grande número de usuários a fazer compras. À medida que a liquidez aumentava, o preço do token dobrava.

Como um SEI falso, quando o preço do token atinge um certo valor, o proprietário do token entra no mercado para vender e realizar uma operação Rugpull. Como pode ser visto na imagem abaixo, o período de entrada na colheita e o preço são todos diferentes.

O gráfico de flutuação para os tokens falsos SEI, X falso, TIP falso e Blue falso é o seguinte:

Podemos aprender com a rastreabilidade de fundos e padrões comportamentais:

No conteúdo de rastreabilidade do fundo, os fundos do criador da fábrica de moedas e do criador de tokens vêm de várias contas EOA. Também há transações financeiras entre diferentes contas. Alguns deles são transferidos através de endereços de phishing, alguns são obtidos através de tokens anteriores de Rugpull e outros são obtidos através de plataformas mistas como Tornado Cash. Transferir fundos de várias maneiras tem como objetivo construir redes financeiras complexas e intrincadas. Vários endereços também criaram múltiplos contratos de fábrica de tokens e produziram em massa tokens.

Ao analisar o comportamento do token Rugpull, encontramos o endereço

0x6f9963448071b88fb23fd9971d24a87e5244451a é uma das fontes de financiamento. O método de lote também é usado para manipular os preços dos tokens. O endereço 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 também atua como provedor de financiamento, fornecendo fundos correspondentes a vários detentores de tokens.

Por meio da análise, pode-se ver que por trás desta série de atos, há uma gangue de fraudes da Web3 com uma clara divisão de trabalho, formando uma cadeia industrial negra. Isso envolve principalmente a coleta de pontos quentes, emissão automática de moedas, negociação automatizada, publicidade falsa, ataques de phishing e colheita de Rugpull, que ocorreram principalmente na BNBChain. Os tokens falsos de Rugpull emitidos estão todos intimamente relacionados a eventos quentes na indústria, e são altamente confusos e encorajadores. Os usuários devem sempre estar alertas, ser racionais e evitar perdas desnecessárias.

IV. Ransomware

A ameaça de ataques de ransomware em 2023 continua a ameaçar instituições e empresas o tempo todo. Os ataques de ransomware estão se tornando mais sofisticados, e os atacantes usam uma variedade de técnicas para explorar vulnerabilidades em sistemas e redes organizacionais. Os ataques de ransomware proliferantes continuam a representar uma grande ameaça para organizações empresariais, indivíduos e infraestruturas críticas em todo o mundo. Os atacantes estão constantemente se adaptando e aprimorando suas estratégias de ataque, usando código-fonte vazado, esquemas de ataque inteligentes e linguagens de programação emergentes para maximizar seus lucros ilegais.

LockBit, ALPHV/BlackCat e BlackBasta são atualmente as organizações de ransomware mais ativas.

Figura: Número de vítimas de organizações de extorsão

Atualmente, cada vez mais ransomware utiliza métodos de pagamento de criptomoeda. Tome Lockbit como exemplo. Empresas recentemente atacadas pelo Lockbit incluem a TSMC no final de junho deste ano, a Boeing em outubro e a subsidiária integralmente detida pelos EUA do Banco Industrial e Comercial da China em novembro. A maioria delas usa Bitcoin para recolher o resgate, e o LockBit lavará o dinheiro da criptomoeda após receber o resgate. Vamos analisar o modelo de lavagem de dinheiro do ransomware usando o Lockbit como exemplo.

De acordo com a análise da ChainAegis, o ransomware LockBit usa principalmente BTC para recolher resgates, utilizando diferentes endereços de pagamento. Alguns endereços e quantias de pagamento são organizados da seguinte forma. Os BTCs em uma única extorsão variaram de 0,07 a 5,8, variando de cerca de $2,551 a $211,311.

Figura: Endereço parcial de pagamento do LockBit e valor do pagamento

O rastreamento de endereços on-chain e a análise de lavagem de dinheiro foram realizados usando os dois endereços com os maiores valores envolvidos:

Endereço de recebimento do resgate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Endereço do destinatário do resgate 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Endereço de coleta de resgate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

De acordo com a análise abaixo, o Endereço 1 (1Ptfhw) recebeu um total de 17 transações on-chain de 25 de março de 2021 a 15 de maio de 2021. Após receber os fundos, os ativos foram rapidamente transferidos para 13 endereços intermediários principais. Esses endereços intermediários são transferidos através da camada de financiamento para 6 endereços intermediários de segundo nível, a saber: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4 e 13CPvF… Lpdp.

O endereço intermediário 3fVzPx… cuvH, através de análise on-chain, descobriu-se que seu fluxo final para o endereço da dark web 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P foi descoberto.

O endereço intermediário 13cPVf… Lpdp transferiu uma pequena quantia de 0.00022 BTC para a CoinPayments. Houve 500 transações semelhantes e um total de 0.21 BTC foi coletado para o endereço da CoinPayments: bc1q3y… 7y88 para lavar dinheiro usando a CoinPayments.

Outros endereços intermediários acabaram fluindo para as exchanges centralizadas Binance e Bitfinex.

Figura: Endereço 1 (1Ptfhw... hPEM) Fontes de Financiamento e Detalhes de Saída

Figura: Rastreamento de fluxo de dinheiro do endereço 1 (1Ptfhw… hPem)

Figura: Detalhes dos endereços intermediários e fluxos de dinheiro envolvidos no endereço 1 (1Ptfhw… hPEM)

Figura: Mapa de transações do endereço 1 (1Ptfhw… hPEM)

(2) Endereço de Recebimento de Extorsão 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

A vítima pagou 4,16 BTC ao operador de resgate LockBit em 11 transações entre 24 de maio de 2021 e 28 de maio de 2021. Imediatamente, o endereço 2 (1hpz7rn… vVPH) transferiu rapidamente 1,89 BTC dos fundos de resgate para o endereço intermediário 1: bc1qan… 0ac4, 1,84 para o endereço intermediário 2: 112qjqj… Sdha, 0,34 O item segue para o endereço intermediário 3: 19Uxbt… 9rdF.

O endereço intermediário final 2:112qJqj… Sdha e o endereço intermediário 3:19Uxbt… 9rdF transferiram fundos para o endereço intermediário 1: bc1qan… 0ac4. Imediatamente após isso, o endereço intermediário 1 bc1qan… 0ac4 continuou a transferir fundos. Uma pequena parte dos fundos foi transferida diretamente para a exchange Binance, e a outra parte dos fundos foi transferida camada por camada através do endereço intermediário, e eventualmente transferida para a Binance e outras plataformas para lavagem de dinheiro. Os detalhes específicos da transação e as tags de endereço são os seguintes.

Figura: Endereço 2 (1hpz7rn… vVPH) Detalhes das Fontes de Financiamento e Fluxo de Saída

Figura: Rastreamento de fluxo de fundos do endereço 2 (1hpz7rn… vVPH)

Figura: Detalhes dos endereços intermediários e dos fluxos de dinheiro envolvidos no endereço 2 (1hpz7rn… vVPH)

O LockBit lavará dinheiro de criptomoeda após receber o resgate. Ao contrário dos métodos tradicionais de lavagem de dinheiro, esse modelo de lavagem de dinheiro geralmente ocorre na blockchain. Tem as características de ciclo longo, fundos dispersos, alta automação e alta complexidade. Para realizar a supervisão de criptomoedas e rastreamento de fundos, por um lado, é necessário construir capacidades de análise e forense on-chain e off-chain, e por outro lado, é necessário realizar ataques de segurança de nível APT e defesa no nível de segurança de rede, com a capacidade de integrar ataque e defesa.

5. LAVAGEM DE DINHEIRO

A lavagem de dinheiro (lavagem de dinheiro) é um ato de legalização de lucros ilegais. Refere-se principalmente à legalização formal de lucros ilegais e dos lucros gerados pela ocultação da origem e natureza dos lucros ilegais por meio de vários meios. Tais atos incluem, mas não se limitam a, fornecer contas financeiras, auxiliar na conversão de formas de propriedade e auxiliar na transferência de fundos ou remessas para o exterior. No entanto, as criptomoedas — especialmente as stablecoins — têm sido usadas para a lavagem de dinheiro há bastante tempo devido aos seus baixos custos de transferência, desgeolocalização e certas propriedades resistentes à censura, que é uma das principais razões pelas quais as criptomoedas têm sido criticadas.

As atividades tradicionais de lavagem de dinheiro frequentemente utilizam o mercado de balcão (OTC) de criptomoedas para trocar moeda fiduciária por criptomoeda, ou de criptomoeda para moeda fiduciária. Entre eles, os cenários de lavagem de dinheiro são diferentes e as formas são diversas, mas independentemente da natureza de tais atos, eles visam bloquear a investigação dos elos de capital por autoridades policiais, incluindo contas de instituições financeiras tradicionais ou contas de instituições criptográficas.

Ao contrário das atividades tradicionais de lavagem de dinheiro, o alvo do novo tipo de atividade de lavagem de dinheiro de criptomoeda é a própria criptomoeda, e a infraestrutura da indústria de cripto, incluindo carteiras, pontes entre cadeias, plataformas de negociação descentralizadas, etc., será toda usada ilegalmente.

Figura: Quantidade de dinheiro lavado nos últimos anos

De 2016 a 2023, as criptomoedas lavaram um total de $147.7 bilhões. Desde 2020, a quantidade de dinheiro lavado continuou a aumentar a uma taxa de 67% ao ano, atingindo $23.8 bilhões em 2022 e podendo chegar a $80 bilhões em 2023. A quantidade de dinheiro lavado é surpreendente, e ações de combate à lavagem de dinheiro são imperativas.

De acordo com estatísticas da plataforma ChainAegis, a quantidade de fundos na plataforma de mistura de moedas on-chain Tornado Cash tem mantido um crescimento rápido desde janeiro de 2020. Atualmente, quase 3,62 milhões de depósitos de ETH foram colocados neste pool de fundos, com um depósito total de 7,8 bilhões de dólares americanos. O Tornado Cash se tornou o maior centro de lavagem de dinheiro do Ethereum. No entanto, como a agência de aplicação da lei dos EUA emitiu um documento sancionando o Tornado Cash em agosto de 2022, o número de depósitos e saques semanais do Tornado Cash caiu exponencialmente, mas devido à natureza descentralizada do Tornado Cash, era impossível detê-los na origem, e os fundos continuaram a fluir para o sistema para misturar moedas.

Análise do Modelo de Lavagem de Dinheiro do Grupo Lazarus (Organização APT Norte-Coreana)

As organizações nacionais de APT (Ameaças Persistentes Avançadas) são os principais grupos de hackers com apoio nacional que visam alvos específicos por longos períodos de tempo. O grupo APT norte-coreano Lazarus é uma gangue de APT muito ativa. O principal objetivo do ataque é roubar fundos, o que pode ser chamado de maior ameaça às instituições financeiras globais. Eles são responsáveis por muitos ataques e casos de roubo de capital no setor de criptomoedas nos últimos anos.

Os incidentes de segurança e perdas dos ataques de Lázaro no campo criptográfico que foram claramente contados até agora são os seguintes:

Mais de 3 bilhões de dólares americanos foram roubados por Lazarus em um ataque cibernético. Segundo relatos, o grupo de hackers Lazarus é apoiado pelos interesses estratégicos da Coreia do Norte para financiar os programas nucleares e de mísseis balísticos da Coreia do Norte. Para isso, os EUA anunciaram uma recompensa de 5 milhões de dólares para sancionar o grupo de hackers Lazarus. O Departamento do Tesouro dos EUA também adicionou endereços relevantes à lista de Nacionais Especialmente Designados (SDN) do OFAC, proibindo indivíduos, entidades e endereços relacionados dos EUA de negociar para garantir que grupos financiados pelo estado não possam resgatar esses fundos, impondo assim sanções. O desenvolvedor do Ethereum, Virgil Griffith, foi condenado a 5 anos e 3 meses de prisão por ajudar a Coreia do Norte a evadir sanções usando moeda virtual. Em 2023, o OFAC também sancionou três pessoas associadas ao Grupo Lazarus. Dois dos sancionados, Cheng Hung Man e Wu Huihui, eram negociadores de OTC que facilitaram transações de criptomoedas para o Lazarus, enquanto um terceiro, Sim Hyon Sop, forneceu outro suporte financeiro.

Apesar disso, o Lazarus completou mais de $1 bilhão em transferências e limpezas de ativos, e seu modelo de lavagem de dinheiro é analisado abaixo. Tome o incidente da Carteira Atômica como exemplo. Após remover os disruptores técnicos estabelecidos pelo hacker (um grande número de transações de transferência de tokens falsos + divisões de endereços múltiplos), o modelo de transferência de fundos do hacker pode ser obtido:

Figura: Visualização da Transferência de Fundos da Vítima 1 da Carteira Atômica

A Vítima 1 transfere 304,36 ETH do endereço 0xb02d… c6072 para o endereço do hacker 0x3916... 6340 e, após 8 parcelas através do endereço intermediário 0x0159... 7b70, retorna para o endereço 0x69ca… 5324. Os fundos arrecadados desde então foram transferidos para o endereço 0x514c… 58f67. Atualmente, os fundos ainda estão neste endereço, e o saldo de ETH do endereço é de 692,74 ETH (no valor de $1,27 milhão).

Figura: Visualização da Transferência de Fundos da Vítima 2 da Carteira Atômica

Vítima 2 transferiu 1.266.000 USDT do endereço 0x0b45... d662 para o endereço do hacker 0xf0f7... 79b3. O hacker dividiu em três transações, duas das quais foram transferidas para Uniswap, totalizando 1.266.000 USDT; a outra transferência foi enviada para o endereço 0x49ce... 80fb, com um valor de transferência de 672.71 ETH. A vítima 2 transferiu 22.000 USDT para o endereço do hacker 0x0d5a... 08c2. O hacker coletou os fundos diretamente ou indiretamente para o endereço 0x3c2e... 94a8 por meio de várias parcelas por endereços intermediários 0xec13... 02d6, etc.

Esse modelo de lavagem de dinheiro é altamente consistente com o modelo de lavagem de dinheiro em ataques anteriores da Ronin Network e da Harmony, e todos incluem três etapas:

(1) Consolidação e troca de fundos roubados: Após o ataque ser lançado, os tokens roubados originais são separados, e vários tokens são trocados por ETH através de DEX e outros métodos. Esta é uma forma comum de contornar o congelamento de fundos.

(2) Coleta de fundos roubados: Coleta do ETH classificado em vários endereços de carteira descartáveis. No incidente de Ronin, os hackers compartilharam 9 desses endereços, a Harmony usou 14 e o incidente da Atomic Wallet usou quase 30 endereços.

(3) Transferência de fundos roubados: Use o endereço de coleta para lavar dinheiro através do Tornado.Cash. Isso completa todo o processo de transferência de dinheiro.

Além de ter as mesmas etapas de lavagem de dinheiro, também há um alto grau de consistência nos detalhes da lavagem de dinheiro:

(1) Os atacantes são muito pacientes. Todos eles levaram até uma semana para realizar operações de lavagem de dinheiro, e todos começaram as operações de lavagem de dinheiro de acompanhamento alguns dias após o incidente ocorrer.

(2) Transações automatizadas são usadas no processo de lavagem de dinheiro. A maioria das ações de coleta de dinheiro tem um grande número de transações, pequenos intervalos de tempo e um modelo uniforme.

Através da análise, acreditamos que o modelo de lavagem de dinheiro de Lázaro é geralmente o seguinte:

(1) Divida contas e transfira ativos em pequenas quantidades e várias transações para tornar o rastreamento mais difícil.

(2) Comece a fabricar um grande número de transações de moeda falsa para tornar o rastreamento mais difícil. Tomando o incidente da Carteira Atômica como exemplo, 23 dos 27 endereços intermediários eram todos endereços de transferência de dinheiro falso. Uma tecnologia semelhante foi recentemente descoberta na análise do incidente da Stake.com, mas os incidentes anteriores da Rede Ronin e Harmony não tinham essa tecnologia de interferência, o que indica que a tecnologia de lavagem de dinheiro de Lazarus também foi atualizada.

(3) São utilizados mais métodos on-chain (como o Tonado Cash) para a mistura de moedas. Nos primeiros incidentes, Lázaro frequentemente usava exchanges centralizadas para obter capital inicial ou realizar OTC subsequentes, mas recentemente bolsas cada vez menos centralizadas estão sendo usadas, e pode-se até pensar que eles estão tentando evitar ao máximo o uso de exchanges centralizadas. Isso deve estar relacionado a vários incidentes recentes de sanções.

VI. Sanções e regulamentação

Agências como o Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA e agências similares em outros países adotam sanções contra países, regimes, indivíduos e entidades considerados uma ameaça à segurança nacional e à política externa. Tradicionalmente, a aplicação de sanções depende da cooperação das principais instituições financeiras, mas alguns agentes mal-intencionados recorreram às criptomoedas para contornar esses intermediários terceirizados, criando novos desafios para os formuladores de políticas e agências de sanção. No entanto, a transparência inerente às criptomoedas e a vontade de cumprir com os serviços de criptomoedas, particularmente as muitas exchanges centralizadas que atuam como um elo entre criptomoedas e moedas fiduciárias, provaram que impor sanções é possível no mundo das criptomoedas.

Aqui está uma olhada em algumas das pessoas ou entidades ligadas a criptomoedas que foram sancionadas nos EUA em 2023, e os motivos das sanções do OFAC.

A Tether, a empresa por trás da maior criptomoeda estável do mundo, anunciou em 9 de dezembro de 2023, que irá "congelar" tokens nas carteiras de indivíduos sancionados na lista de indivíduos sancionados do Escritório de Controle de Ativos Estrangeiros (OFAC) dos EUA. Em seu anúncio, a Tether considerou a medida como um passo voluntário para "prevenir proativamente qualquer possível uso indevido de tokens Tether e aprimorar as medidas de segurança".

Isso também mostra que a investigação e punição de crimes com criptomoedas entrou em um estágio substancial. A cooperação entre as principais empresas e as agências de aplicação da lei pode formar sanções eficazes para monitorar e punir crimes com criptomoedas.

Em termos de regulação Web3 em 2023, Hong Kong também fez um tremendo progresso e está soando a trombeta para o "desenvolvimento em conformidade" dos mercados Web3 e de cripto. Quando a Autoridade Monetária de Singapura começou a restringir clientes de varejo de usar alavancagem ou crédito para transações de criptomoeda em 2022, o Governo da RAE de Hong Kong emitiu uma "Declaração de Política sobre o Desenvolvimento de Ativos Virtuais em Hong Kong", e alguns talentos e empresas Web3 foram para uma nova terra prometida.

Em 1º de junho de 2023, Hong Kong cumpriu a declaração e emitiu as “Diretrizes para Operadores de Plataformas de Negociação de Ativos Virtuais”. O sistema de licença de plataforma de negociação de ativos virtuais foi oficialmente implementado, e as licenças de Classe 1 (negociação de títulos) e Classe 7 (prestação de serviços de negociação automatizada) foram emitidas.

Atualmente, organizações como OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus e DFX Labs estão solicitando ativamente licenças de plataforma de negociação de ativos virtuais (VASP).

O CEO Li Jiachao, o Secretário de Finanças Chen Maobo e outros têm falado frequentemente em nome do governo de Hong Kong para apoiar o lançamento do Web3 em Hong Kong e atrair empresas de criptomoeda e talentos de todo o mundo para construir. Em termos de apoio político, Hong Kong introduziu um sistema de licenciamento para prestadores de serviços de ativos virtuais, que permite que investidores de varejo negociem criptomoedas, lançou um fundo de ecossistema Web3 Hub de $10 milhões e planeja investir mais de HK$700 milhões para acelerar o desenvolvimento da economia digital e promover o desenvolvimento da indústria de ativos virtuais. Também criou uma força-tarefa de desenvolvimento Web 3.0.

No entanto, quando grandes avanços estavam sendo feitos, eventos arriscados também aproveitaram o momento. A corretora de criptomoedas não licenciada JPEX envolveu mais de HK$ 1 bilhão, o caso de fraude HOUNAX envolveu mais de 100 milhões de yuans, HongKongDAO e BitCuped suspeita de fraude de ativos virtuais... Esses incidentes cruéis atraíram grande atenção da Comissão Reguladora de Valores Mobiliários de Hong Kong e da polícia. A Comissão Reguladora de Valores Mobiliários de Hong Kong disse que desenvolverá diretrizes de avaliação de risco para casos de ativos virtuais com a polícia e trocará informações semanalmente.

Acredito que, num futuro próximo, um sistema regulatório e de segurança mais completo ajudará Hong Kong, como um importante centro financeiro entre o Oriente e o Ocidente, a abrir os braços para a Web3.

Isenção de responsabilidade:

1. Este artigo é reproduzido a partir de [Gateaicoin]. Todos os direitos autorais pertencem ao autor original [SharkTeam]. Se houver objeções a esta reimpressão, entre em contato com o Gate Aprenderequipe e eles vão lidar com isso prontamente.
2. Isenção de Responsabilidade: As visões e opiniões expressas neste artigo são exclusivamente do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipe Gate Learn. A menos que seja mencionado, copiar, distribuir ou plagiar os artigos traduzidos é proibido.