En 2023, l'industrie Web3 a connu plus de 940 incidents de sécurité, grands et petits, ce qui représente une augmentation de plus de 50 % par rapport à 2022, et a perdu 1,79 milliard de dollars. Parmi eux, le troisième trimestre a enregistré le nombre le plus élevé d'incidents de sécurité (360 cas) et la plus grosse perte (7,4 milliards de dollars), les pertes ayant augmenté de 47 % par rapport à 2022. En particulier, en juillet, 187 incidents de sécurité se sont produits, et les pertes se sont élevées à 350 millions de dollars américains.

Figure: Nombre d'incidents de sécurité trimestriels/mensuels pour le Web 3 2023

Figure: Pertes d'incidents de sécurité trimestriels/mensuels de Web 3 2023 (en millions de dollars)

Tout d'abord, les attaques de pirates informatiques sont toujours une cause majeure de pertes importantes. Il y a eu 216 incidents de piratage tout au long de l'année 2023, entraînant des pertes de 1,06 milliard de dollars. Les violations de contrats, le vol de clés privées, les attaques de phishing et le piratage national sont encore des raisons importantes menaçant la sécurité de l'écosystème Web3.

Deuxièmement, les escroqueries et les fraudes au trésor sont en augmentation. Il y a eu 250 cas d'escroqueries et de fraudes en 2023, avec le plus grand nombre d'incidents sur BNBChain. Les projets frauduleux attirent les investisseurs à participer en publiant des projets de cryptomonnaie apparemment attrayants, et fournissent une fausse liquidité. Une fois que des fonds suffisants sont attirés, tous les fonds sont soudainement volés et les actifs sont transférés. Ce type de fraude cause de graves pertes financières aux investisseurs, et augmente également considérablement la difficulté pour les investisseurs de choisir le bon projet.

De plus, les rançongiciels sont une tendance à la hausse qui utilise des cryptomonnaies pour collecter des rançons, telles que Lockbit, Conti, Suncrypt et Monti. La cryptomonnaie est plus difficile à suivre que la monnaie fiduciaire, et la manière d'utiliser des outils d'analyse on-chain pour suivre et localiser les groupes de rançongiciels devient également plus importante.

Enfin, dans des activités criminelles telles que des attaques de piratage de cryptomonnaies et des extorsions frauduleuses, les criminels ont souvent besoin de blanchir de l'argent via des transferts de fonds on-chain et OTC après avoir obtenu des cryptomonnaies. Le blanchiment d'argent utilise généralement un mélange de méthodes décentralisées et centralisées. Les échanges centralisés sont les endroits les plus concentrés pour le blanchiment d'argent, suivis par les plateformes de mélange de pièces on-chain.

2023 est également une année de développement substantiel de la réglementation Web3. FTX2.0 a été relancé, Binance a été sanctionné, les adresses USDT interdites telles que le Hamas, et la SEC a approuvé un ETF spot Bitcoin en janvier 2024. Ces événements marquants indiquent tous que la réglementation est profondément impliquée dans le développement de Web3.

Ce rapport réalisera une analyse systématique des sujets clés tels que l'attaque de piratage Web3 de 2023, la fraude Rugpull, les rançongiciels, le blanchiment d'argent de la cryptomonnaie, la réglementation de Web3, etc., afin de comprendre le paysage de sécurité du développement de l'industrie de la cryptomonnaie.

1. Failles contractuelles

Les attaques de vulnérabilité de contrat se sont principalement produites sur Ethereum. Au cours du second semestre 2023, 36 attaques de vulnérabilité de contrat ont eu lieu sur Ethereum, causant des pertes s'élevant à plus de 200 millions de dollars américains, suivies de BNBChain. En termes de méthodes d'attaque, les défauts de logique commerciale et les attaques de prêt flash restent les plus courants.

Figure: Incidents de piratage trimestriels de Web 3 en 2023 et pertes (en millions de dollars)

Figure: Nombre et montant des exploits de contrat mensuels et des attaques de piratage sur le Web 3 2023H2

Figure : Nombre d'attaques d'exploitation de contrats et montants de pertes par mois dans différentes chaînes Web 3 2023H2

Figure: Le nombre et le montant des pertes causées par la vulnérabilité du contrat Web 3 2023H2 utilisant des méthodes d'attaque spécifiques

Analyse typique des événements : les vulnérabilités de Vyper entraînent des attaques contre des projets tels que Curve et JPEG’d

Prenez l'attaque de JPEG'd comme exemple :

Adresse de l'attaquant : 0x6ec21d1868743a44318c3c259a6d4953f9978538

Contrat d'attaquant : 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Transactions d’attaque :

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Les attaquants (0x6ec21d18) ont créé un contrat 0x466B85B4 et emprunté 80 000 WETH auprès de [Balancer: Vault] grâce à des prêts flash.

(2) Les attaquants (0x6ec21d18) ont ajouté 40 000 WETH au pool de liquidité peth-ETH-F (0x9848482d) et ont obtenu 32 431 pETH.

(3) Par la suite, les attaquants (0x6ec21d18) ont à plusieurs reprises retiré de la liquidité du pool de liquidité peth-ETH-F (0x98482D).

(4) Au final, les attaquants (0x6ec21d18) ont obtenu 86 106 WETH, et après avoir remboursé le prêt flash, un bénéfice de 6 106 WETH a quitté le marché.

Analyse de vulnérabilité : Cette attaque est une attaque de réentrance typique. Décompilation du bytecode du contrat du projet attaqué. Nous pouvons voir sur la figure suivante : les fonctions add_liquidity et remove_liquidity ne sont pas les mêmes lors de la vérification de la valeur de l'emplacement de stockage. En utilisant un emplacement de stockage différent, le verrou de réentrance peut ne pas fonctionner. À ce stade, on soupçonne qu'il s'agit d'un bug de conception sous-jacent de Vyper.

Associée au tweet officiel de Curve. En fin de compte, le ciblage était un bug de la version Vyper. Cette vulnérabilité existe dans les versions 0.2.15, 0.2.16 et 0.3.0, et il y a un défaut dans la conception du verrouillage de la réentrée. Nous comparons 0.2.14 et 0.3.0 avant 0.2.15 Plus tard, dans la version 0.3.1, il a été découvert que cette partie du code était constamment mise à jour. Les anciennes versions 0.2.14 et les nouvelles versions 0.3.1 n'avaient pas ce problème.

Dans le fichier de paramètres liés au verrou de réentrée data_positions.py correspondant à Vyper, la valeur de storage_slot sera écrasée. En ret, le slot qui a d'abord acquis le verrou est 0, puis lorsque la fonction est rappelée, le slot de verrouillage sera augmenté de 1. À ce stade, le verrou de réentrée expirera.

II. Attaques de phishing

Les attaques de phishing sont un type de cyberattaque conçu pour tromper et inciter les cibles à obtenir des informations sensibles ou à les inciter à effectuer des actions malveillantes. Ce type d'attaque est généralement réalisé via e-mail, les médias sociaux, les SMS ou d'autres canaux de communication. Les attaquants se déguisent en entités de confiance, telles que les parties de projet, les autorités, les KOL, etc., pour attirer les victimes à fournir des clés privées, des mnémoniques ou une autorisation de transaction. Similaire aux attaques de vulnérabilité de contrat, les attaques de phishing ont montré une incidence élevée et des pertes élevées au T3. Un total de 107 attaques de phishing se sont produites, dont 58 en juillet.

Figure: Nombre d'attaques de phishing et de pertes par trimestre dans le Web 3 2023 (en millions de dollars)

Figure: Nombre d'attaques de phishing mensuelles sur le Web 3 2023

Analyse des transferts d'actifs on-chain des attaques de phishing typiques

Le 7 septembre 2023, l'adresse (0x13e382) a été touchée par une attaque de phishing et a perdu plus de 24 millions de dollars. Les pirates du phishing ont utilisé le vol de fonds, l'échange de fonds et les transferts de fonds décentralisés. Sur les fonds finalement perdus, 3 800 ETH ont été transférés à Tornado.Cash par lots, 10 000 ETH ont été transférés à une adresse intermédiaire (0x702350), et 1078,087 DAI restent à l'adresse intermédiaire (0x4F2F02).

Il s’agit d’une attaque de phishing typique. En volant les actifs des utilisateurs en escroquant les autorisations de portefeuille ou les clés privées, les attaquants ont formé une chaîne d’industrie noire de phishing + blanchiment d’argent. Actuellement, de plus en plus de gangs frauduleux et même de hackers nationaux utilisent des méthodes de phishing pour commettre des crimes dans le domaine du Web3, ce qui nécessite l’attention et la vigilance de tous.

Selon la plateforme d'analyse de données massives on-chain de SharkTeam ChainAegis (https://app.chainaegis.com/)Dans l'analyse de suivi, nous analyserons le processus de fraude des attaques de phishing typiques, le transfert de fonds et le comportement on-chain des fraudeurs.

(1) Processus d'attaque de phishing

L’adresse de la victime (0x13e382) octroie des rETH et des stETH à l’adresse de l’escroc 1 (0x4c10a4) via « Augmenter l’allocation ».

L'adresse du fraudeur 1 (0x4c10a4) a transféré 9 579 stETH de l'adresse de la victime (0x13e382) au compte de l'adresse du fraudeur 2 (0x693b72) pour un montant d'environ 15,32 millions de dollars.

L'adresse du fraudeur 1 (0x4c10a4) a transféré 4,850 rETH du compte de l'adresse de la victime (0x13e382) à l'adresse du fraudeur 2 (0x693b72) pour un montant d'environ 8,41 millions de dollars.

(2) Échange et transfert d’actifs

Échangez les stETH et rETH volés contre de l'ETH. À partir du début de la matinée du 07/09/2023, l'adresse du fraudeur 2 (0x693b72) a effectué plusieurs transactions d'échange sur les plates-formes UniSwapV2, UniSwapv3 et Curve respectivement, échangeant tous les 9 579 stETH et 4 850 rETH en ETH, pour un total de 14 783,9413 ETH.

échange stETH :

Échange rETH:

Échangez un peu d'ETH contre du DAI. L'adresse du fraudeur 2 (0x693b72) a échangé 1 000 ETH contre 1 635 047,761675421713685327 via la plateforme UniSwapv3 DAI. Les fraudeurs ont utilisé des transferts de fonds décentralisés vers de multiples adresses de portefeuille intermédiaires, totalisant 1 635 139 DAI et 13 785 ETH. Parmi ceux-ci, 1 785 ETH ont été transférés à une adresse intermédiaire (0x4F2F02), 2 000 ETH ont été transférés à une adresse intermédiaire (0x2ABDC2) et 10 000 ETH ont été transférés à une adresse intermédiaire (0x702350). De plus, l'adresse intermédiaire (0x4F2F02) a reçu 1 635 139 DAI le lendemain

Transfert de fonds de l'adresse du portefeuille intermédiaire (0x4F2F02) :

L’adresse a fait l’objet d’un transfert de fonds à plusieurs niveaux et compte 1 785 ETH et 1 635 139 DAI. Transfert décentralisé de fonds, DAI et petits montants convertis en ETH

Tout d'abord, les escrocs ont commencé à transférer 529 000 DAI lors de 10 transactions tôt le matin du 07-09-2023. Ensuite, les 7 premières sommes de 452 000 DAI ont été transférées de l'adresse intermédiaire à 0x4E5B2E (fixedFloat), la huitième, de l'adresse intermédiaire à 0x6CC5F6 (OKX), et les 2 dernières totalisant 77 000 DAI ont été transférées de l'adresse intermédiaire à 0xF1DA17 (exCH).

Deuxièmement, le 10 septembre, 28 052 DAI ont été échangés contre 17,3 ETH via UniswapV2.

Du 8 septembre au 11 septembre, 18 transactions ont été effectuées, et tous les 1 800 ETH ont été transférés à Tornado.Cash.

Après le transfert, l’adresse a finalement laissé les fonds volés 1078 087 DAI qui n’ont pas été transférés.

Transfert de fonds vers une adresse intermédiaire (0x2ABDC2):

L’adresse a été transférée par le biais d’un niveau de fonds et dispose de 2 000 ETH. Tout d’abord, l’adresse a transféré 2000ETH à une adresse intermédiaire (0x71C848) le 11 septembre.

L'adresse intermédiaire (0x71C848) a ensuite transféré des fonds par le biais de deux transferts de fonds les 11 septembre et 1er octobre, respectivement, pour un total de 20 transactions, 100 ETH chacune, totalisant 2000 ETH à Tornado.Cash.

L'adresse a été transférée à travers un niveau de fonds et détient 10 000 ETH. Au 08 octobre 2023, 10 000 ETH n'a pas été transféré sur le compte de cette adresse.

Suivi des indices d'adresse : Après avoir analysé les transactions historiques de l'adresse du fraudeur 1 (0x4c10a4) et de l'adresse du fraudeur 2 (0x693b72), il a été découvert qu'une adresse EOA (0x846317) a transféré 1,353 ETH à l'adresse du fraudeur 2 (0x693b72), et la source de financement de cette adresse EOA impliquait les adresses de portefeuille chaud des échanges centralisés KuCoin et Binance.

III. Rugpull and Fraude

La fréquence des incidents de fraude Rugpull en 2023 a montré une tendance à la hausse significative. Le T4 a atteint 73 cas, avec un montant de perte de 19 millions de dollars américains, avec une perte individuelle moyenne d'environ 26 000 dollars américains. Le trimestre avec la plus grande part des pertes liées à la fraude Rugpull de l'année entière était le T2, suivi du T3, qui représentait plus de 30 % des pertes.

Au second semestre de 2023, il y a eu un total de 139 incidents de Rugpull et 12 incidents de fraude, ce qui a entraîné des pertes de 71,55 millions de dollars et 340 millions de dollars respectivement.

Les événements de Rugpull se sont principalement produits sur BNBChain au cours du deuxième semestre 2023, atteignant 91 fois, représentant plus de 65%, et des pertes s'élevant à 29,57 millions de dollars, soit 41% des pertes. Ethereum (44 fois) a suivi, avec une perte de 7,39 millions de dollars. En plus d'Ethereum et de BNBChain, l'incident de Rugpull BALD s'est produit sur la Base Chain en août, entraînant des pertes importantes de 25,6 millions de dollars.

Figure : Nombre d’incidents et de pertes liés au Rugpull et à l’escroquerie par trimestre pour le Web 3 en 2023 (en millions de dollars)

Figure: Nombre d'incidents de Rugpull et d'arnaques et pertes par mois sur Web 3 2023H2

Figure: Nombre d'incidents mensuels de Rugpull et montants de perte dans différentes chaînes Web 3 2023H2

Analyse du comportement de l'usine de fraude Rugpull

Un modèle d'usine de fraude Rug est populaire sur BNBChain pour produire en masse des jetons Rugpull et commettre une fraude. Jetons un coup d'œil au schéma de fraude de l'usine Rugpull avec de faux jetons SEI, X, TIP et Blue.

(1) SEI

Tout d'abord, le faux détenteur de jetons SEI 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 a échangé 249 faux SEIs contre 1U.

Ensuite, 0x6f9963448071b88fb23fd9971d24a87e5244451A a effectué des opérations d'achat et de vente en gros. Sous les opérations d'achat et de vente, la liquidité du jeton a fortement augmenté, et le prix a également augmenté.

À travers le phishing et d'autres méthodes de promotion, un grand nombre d'utilisateurs sont tentés d'acheter. À mesure que la liquidité augmente, le prix du jeton double.

Lorsque le prix du jeton atteint une certaine valeur, le propriétaire du jeton entre sur le marché et vend pour effectuer une opération Rugpull. Comme on peut le voir sur l’image ci-dessous, la période de récolte d’entrée et le prix sont tous différents.

(2) Faux X, faux TIP, faux Bleu

Tout d'abord, les détenteurs de jetons X, TIP et Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 ont échangé 1U contre le jeton correspondant. Ensuite, tout comme un faux jeton Sei.

0x6f9963448071b88fb23fd9971d24a87e5244451Des opérations d'achat et de vente en gros. Sous les opérations d'achat et de vente, la liquidité a fortement augmenté et les prix ont augmenté.

Il a ensuite été promu par le biais de l’hameçonnage et d’autres canaux pour inciter un grand nombre d’utilisateurs à effectuer des achats. Au fur et à mesure que la liquidité augmentait, le prix du jeton a doublé.

Comme un faux SEI, lorsque le prix du jeton atteint une certaine valeur, le propriétaire du jeton entre sur le marché pour vendre et effectuer une opération Rugpull. Comme on peut le voir sur l'image ci-dessous, la période de récolte à l'entrée et le prix sont tous différents.

Le graphique de fluctuation des jetons fake SEI, fake X, fake TIP et fake Blue est le suivant :

Nous pouvons apprendre de la traçabilité des fonds et des comportements :

Dans le contenu de la traçabilité des fonds, les fonds du créateur de la fabrique de pièces et du créateur de jetons proviennent de plusieurs comptes EOA. Il existe également des transactions financières entre différents comptes. Certains d'entre eux sont transférés via des adresses d'hameçonnage, d'autres sont obtenus via des jetons précédents de Rugpull, et d'autres sont obtenus via des plates-formes mixtes telles que Tornado Cash. Le transfert de fonds de différentes manières vise à construire des réseaux financiers complexes et complexes. Diverses adresses ont également créé plusieurs contrats de fabrique de jetons et produit en masse des jetons.

En analysant le comportement du jeton Rugpull, nous avons trouvé l’adresse

0x6f9963448071b88fb23fd9971d24a87e5244451a est l'une des sources de financement. La méthode de lot est également utilisée pour manipuler les prix des jetons. L'adresse 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 agit également en tant que fournisseur de fonds, fournissant des fonds correspondants à plusieurs détenteurs de jetons.

À travers l'analyse, on peut voir que derrière cette série d'actes, il y a un gang de fraude Web3 avec une claire division du travail, formant une chaîne industrielle noire. Il concerne principalement la collecte de points chauds, l'émission automatique de jetons, le trading automatisé, la fausse publicité, les attaques de phishing et la récolte de Rugpull, qui se sont principalement produites sur BNBChain. Les faux jetons Rugpull émis sont tous étroitement liés aux événements chauds de l'industrie, et sont très déroutants et encourageants. Les utilisateurs doivent toujours être vigilants, être rationnels et éviter les pertes inutiles.

IV. Rançongiciel

La menace des attaques de ransomwares en 2023 continue de menacer en permanence les institutions et les entreprises. Les attaques de ransomwares deviennent de plus en plus sophistiquées, et les attaquants utilisent une variété de techniques pour exploiter les vulnérabilités des systèmes et réseaux organisationnels. Les attaques de ransomwares prolifèrent et continuent de représenter une menace majeure pour les organisations commerciales, les particuliers et les infrastructures critiques à travers le monde. Les attaquants s'adaptent constamment et affinent leurs stratégies d'attaque, en utilisant des codes sources divulgués, des schémas d'attaque intelligents et des langages de programmation émergents pour maximiser leurs profits illégaux.

LockBit, ALPHV/BlackCat et BlackBasta sont actuellement les organisations de rançongiciels les plus actives.

Figure: Nombre de victimes d'organisations d'extorsion

Actuellement, de plus en plus de ransomwares utilisent des méthodes de paiement en cryptomonnaie. Prenons Lockbit comme exemple. Les entreprises récemment attaquées par Lockbit incluent TSMC à la fin du mois de juin de cette année, Boeing en octobre et la filiale à part entière des États-Unis de la Banque industrielle et commerciale de Chine en novembre. La plupart d'entre elles utilisent Bitcoin pour collecter la rançon, et LockBit blanchira l'argent en cryptomonnaie après avoir reçu la rançon. Analysons le modèle de blanchiment d'argent des ransomwares en utilisant Lockbit comme exemple.

Selon l'analyse de ChainAegis, le rançongiciel LockBit utilise principalement du BTC pour collecter des rançons, en utilisant différentes adresses de paiement. Certaines adresses et montants de paiement sont organisés comme suit. Les BTC dans une seule extorsion variaient de 0,07 à 5,8, allant d'environ 2 551 $ à 211 311 $.

Figure: Adresse de paiement partielle de LockBit et montant du paiement

Le suivi des adresses on-chain et l'analyse de lutte contre le blanchiment d'argent ont été effectués en utilisant les deux adresses impliquées avec les montants les plus élevés :

Adresse de réception de la rançon 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Adresse du destinataire de la rançon 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Adresse de collecte de rançongiciel 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Selon l'analyse ci-dessous, l'adresse 1 (1Ptfhw) a reçu un total de 17 transactions on-chain du 25 mars 2021 au 15 mai 2021. Après avoir reçu les fonds, les actifs ont été rapidement transférés à 13 adresses intermédiaires principales. Ces adresses intermédiaires sont transférées via la couche de financement à 6 adresses intermédiaires de deuxième niveau, à savoir : 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4 et 13CPvF… Lpdp.

L'adresse intermédiaire 3fVzPx… cuvH, grâce à une analyse on-chain, il a été découvert que son flux final vers l'adresse du dark web 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P a été découvert.

L'adresse intermédiaire 13cPVf… Lpdp a transféré une petite somme de 0,00022 BTC à CoinPayments. Il y a eu 500 transactions similaires et un total de 0,21 BTC a été collecté à l'adresse de CoinPayments : bc1q3y… 7y88 pour blanchir de l'argent en utilisant CoinPayments.

D'autres adresses intermédiaires ont fini par affluer vers les bourses centralisées Binance et Bitfinex.

Figure: Adresse 1 (1Ptfhw… hPEM) Détails des sources de financement et des sorties

Figure : Suivi des flux d'argent de l'adresse 1 (1Ptfhw… hPem)

Figure: Détails des adresses intermédiaires et des flux d'argent impliqués dans l'adresse 1 (1Ptfhw… hPEM)

Figure: Carte des transactions de l'adresse 1 (1Ptfhw… hPEM)

(2) Adresse de réception de l'extorsion 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

La victime a payé 4,16 BTC à l'opérateur de rançon LockBit en 11 transactions entre le 24 mai 2021 et le 28 mai 2021. Immédiatement, l'adresse 2 (1hpz7rn… vVPH) a rapidement transféré 1,89 BTC des fonds de la rançon à l'adresse intermédiaire 1 : bc1qan… 0ac4, 1,84 à l'adresse intermédiaire 2 :112qjqj… Sdha, 0,34 L'article va à l'adresse intermédiaire 3:19Uxbt… 9rdF.

L'adresse intermédiaire finale 2:112qJqj… Sdha et l'adresse intermédiaire 3:19Uxbt… 9rdF ont toutes deux transféré des fonds à l'adresse intermédiaire 1: bc1qan… 0ac4. Immédiatement après, l'adresse intermédiaire 1 bc1qan… 0ac4 a continué à transférer des fonds. Une petite partie des fonds a été transférée directement vers l'échange Binance, et l'autre partie des fonds a été transférée couche par couche par l'adresse intermédiaire, pour finalement être transférée vers Binance et d'autres plateformes pour le blanchiment d'argent. Les détails spécifiques de la transaction et les étiquettes d'adresse sont les suivants.

Figure: Adresse 2 (1hpz7rn… vVPH) Sources de financement et détails des sorties

Figure: Suivi des flux de fonds de l'adresse 2 (1hpz7rn… vVPH)

Figure : Détail des adresses intermédiaires et des flux monétaires concernés par l’adresse 2 (1hpz7rn... vVPH)

LockBit blanchira l’argent de la crypto-monnaie après avoir reçu la rançon. Contrairement aux méthodes traditionnelles de blanchiment d’argent, ce modèle de blanchiment d’argent se produit généralement sur la blockchain. Il présente les caractéristiques d’un cycle long, de fonds dispersés, d’une automatisation élevée et d’une grande complexité. Pour effectuer la supervision des crypto-monnaies et le suivi des fonds, d’une part, il est nécessaire de construire des capacités d’analyse et de criminalistique on-chain et off-chain, et d’autre part, il est nécessaire de mener des attaques de sécurité et de défense au niveau APT au niveau de la sécurité du réseau, avec la possibilité d’intégrer l’attaque et la défense.

5. BLANCHIMENT D'ARGENT

Le blanchiment d'argent (blanchiment d'argent) est un acte de légalisation des produits illicites. Il s'agit principalement de la légalisation formelle des produits illicites et des produits générés par la dissimulation de l'origine et de la nature des produits illicites par divers moyens. Ces actes comprennent, sans s'y limiter, la fourniture de comptes financiers, l'assistance à la conversion de formes de propriété et l'assistance au transfert de fonds ou à la remise à l'étranger. Cependant, les cryptomonnaies - en particulier les stablecoins - sont utilisées depuis un certain temps pour le blanchiment d'argent en raison de leurs faibles coûts de transfert, de leur délocalisation et de certaines propriétés résistantes à la censure, ce qui est l'une des principales raisons pour lesquelles les cryptomonnaies ont été critiquées.

Les activités traditionnelles de blanchiment d'argent utilisent souvent le marché de gré à gré des cryptomonnaies pour échanger des devises contre des cryptomonnaies, ou des cryptomonnaies contre des devises. Parmi elles, les scénarios de blanchiment d'argent sont différents et les formes sont diverses, mais quelle que soit la nature de ces actes, ils visent à bloquer l'enquête sur les liens en capital par les forces de l'ordre, y compris les comptes des institutions financières traditionnelles ou des institutions cryptographiques.

Contrairement aux activités traditionnelles de blanchiment d'argent, la cible du nouveau type d'activité de blanchiment d'argent de la cryptomonnaie est la cryptomonnaie elle-même, et l'infrastructure de l'industrie de la crypto, y compris les portefeuilles, les ponts inter-chaînes, les plateformes de trading décentralisées, etc., seront tous utilisés illégalement.

Figure: Montant d'argent blanchi ces dernières années

De 2016 à 2023, les cryptomonnaies ont blanchi un total de 147,7 milliards de dollars. Depuis 2020, le montant d'argent blanchi n'a cessé d'augmenter à un rythme de 67 % par an, pour atteindre 23,8 milliards de dollars en 2022, et atteindre jusqu'à 80 milliards de dollars en 2023. Le montant d'argent blanchi est stupéfiant, et des actions de lutte contre le blanchiment d'argent sont impératives.

Selon les statistiques de la plateforme ChainAegis, le montant des fonds sur la plateforme de mélange de pièces on-chain Tornado Cash a maintenu une croissance rapide depuis janvier 2020. Actuellement, près de 3,62 millions de dépôts d'ETH ont été placés dans ce fonds, pour un dépôt total de 7,8 milliards de dollars américains. Tornado Cash est devenu le plus grand centre de blanchiment d'argent d'Ethereum. Cependant, comme l'agence américaine chargée de l'application de la loi a publié un document sanctionnant Tornado Cash en août 2022, le nombre de dépôts et retraits hebdomadaires de Tornado Cash a chuté de manière exponentielle, mais en raison de la nature décentralisée de Tornado Cash, il était impossible de les arrêter à la source, et les fonds ont continué à affluer dans le système pour mélanger les pièces.

Analyse du modèle de blanchiment d'argent du groupe Lazarus (organisation nord-coréenne APT)

Les organisations nationales APT (menace persistante avancée) sont les meilleurs groupes de pirates informatiques avec un soutien national en arrière-plan qui ciblent des cibles spécifiques pendant une longue période. Le groupe APT nord-coréen Lazarus Group est un gang APT très actif. Le but principal de l'attaque est de voler des fonds, ce qui peut être appelé la plus grande menace pour les institutions financières mondiales. Ils sont responsables de nombreuses attaques et de cas de vol de capitaux dans le secteur des cryptomonnaies ces dernières années.

Les incidents de sécurité et les pertes des attaques de Lazarus sur le domaine cryptographique qui ont été clairement comptabilisés jusqu'à présent sont les suivants :

Plus de 3 milliards de dollars américains de fonds ont été volés par Lazarus lors d’une cyberattaque. Selon les rapports, le groupe de pirates informatiques Lazarus est soutenu par les intérêts stratégiques de la Corée du Nord pour financer les programmes nucléaire et balistique de la Corée du Nord. À cette fin, les États-Unis ont annoncé une récompense de 5 millions de dollars pour sanctionner le groupe de pirates informatiques Lazarus. Le département du Trésor des États-Unis a également ajouté les adresses pertinentes à la liste des ressortissants spécialement désignés (SDN) de l’OFAC, interdisant aux individus, aux entités et aux adresses connexes des États-Unis de négocier afin de s’assurer que les groupes financés par l’État ne puissent pas racheter ces fonds, imposant ainsi des sanctions. Le développeur d’Ethereum, Virgil Griffith, a été condamné à 5 ans et 3 mois de prison pour avoir aidé la Corée du Nord à échapper aux sanctions en utilisant de la monnaie virtuelle. En 2023, l’OFAC a également sanctionné trois personnes associées au groupe Lazarus. Deux des personnes sanctionnées, Cheng Hung Man et Wu Huihui, étaient des traders de gré à gré qui facilitaient les transactions de crypto-monnaie pour Lazarus, tandis qu’un tiers, Sim Hyon Sop, fournissait un autre soutien financier.

Malgré cela, Lazarus a réalisé plus de 1 milliard de dollars de transferts et de nettoyages d'actifs, et leur modèle de blanchiment d'argent est analysé ci-dessous. Prenons l'incident du portefeuille Atomic comme exemple. Après avoir supprimé les perturbateurs techniques mis en place par le pirate informatique (un grand nombre de transactions de transfert de jetons factices + plusieurs divisions d'adresses), le modèle de transfert de fonds du pirate informatique peut être obtenu :

Figure: Vue du transfert de fonds de la victime 1 de Atomic Wallet

La victime 1 transfère 304,36 ETH de l'adresse 0xb02d… c6072 à l'adresse du pirate informatique 0x3916... 6340, et après 8 versements via l'adresse intermédiaire 0x0159... 7b70, il revient à l'adresse 0x69ca… 5324. Les fonds collectés ont depuis été transférés à l'adresse 0x514c… 58f67. Actuellement, les fonds se trouvent toujours à cette adresse, et le solde en ETH de l'adresse est de 692,74 ETH (d'une valeur de 1,27 million de dollars).

Figure: Vue du transfert de fonds de la victime 2 d'Atomic Wallet

La victime 2 a transféré 1 266 000 USDT depuis l'adresse 0x0b45... d662 vers l'adresse du pirate informatique 0xf0f7... 79b3. Le pirate informatique l'a divisé en trois transactions, dont deux ont été transférées à Uniswap, pour un total de 1 266 000 USDT ; le dernier transfert a été effectué vers l'adresse 0x49ce… 80fb, pour un montant de 672,71 ETH. La victime 2 a transféré 22 000 USDT à l'adresse du pirate informatique 0x0d5a… 08c2. Le pirate informatique a collecté directement ou indirectement les fonds vers l'adresse 0x3c2e… 94a8 par le biais de plusieurs versements par l'intermédiaire d'adresses intermédiaires 0xec13... 02d6, etc.

Ce modèle de blanchiment d'argent est très cohérent avec le modèle de blanchiment d'argent des attaques précédentes de Ronin Network et Harmony, et inclut toutes les trois étapes :

(1) Consolidation et échange de fonds volés : Après le lancement de l'attaque, les jetons volés initialement sont triés et divers jetons sont échangés contre de l'ETH via DEX et d'autres méthodes. Il s'agit d'un moyen courant de contourner le gel des fonds.

(2) Collecte de fonds volés: Collecte de l'ETH trié dans plusieurs adresses de portefeuille jetables. Dans l'incident Ronin, les pirates informatiques ont partagé 9 de ces adresses, Harmony en a utilisé 14 et l'incident du portefeuille Atomic en a utilisé près de 30.

(3) Transfert de fonds volés : Utilisez l’adresse de collecte pour blanchir de l’argent via Tornado.Cash. Cela complète l’ensemble du processus de transfert d’argent.

En plus d'avoir les mêmes étapes de blanchiment d'argent, il existe également un haut degré de cohérence dans les détails du blanchiment d'argent :

(1) Les attaquants sont très patients. Ils ont tous mis jusqu'à une semaine pour effectuer des opérations de blanchiment d'argent, et ils ont tous commencé des opérations de blanchiment d'argent de suivi quelques jours après que l'incident s'est produit.

(2) Les transactions automatisées sont utilisées dans le processus de blanchiment d'argent. La plupart des actions de collecte d'argent comportent un grand nombre de transactions, de petits intervalles de temps et un modèle uniforme.

Grâce à l'analyse, nous croyons que le modèle de blanchiment d'argent de Lazarus est généralement le suivant :

(1) Divisez les comptes et transférez les actifs en petites quantités et en plusieurs transactions pour rendre le suivi plus difficile.

(2) Commencez à fabriquer un grand nombre de transactions de fausse monnaie pour rendre le suivi plus difficile. En prenant l'incident de Atomic Wallet comme exemple, 23 des 27 adresses intermédiaires étaient toutes des adresses de transfert de fausse monnaie. Une technologie similaire a été récemment découverte dans l'analyse de l'incident de Stake.com, mais les incidents précédents du réseau Ronin et Harmony n'avaient pas cette technologie d'interférence, ce qui indique que la technologie de blanchiment d'argent de Lazarus a également été améliorée.

(3) Plus de méthodes on-chain (comme Tonado Cash) sont utilisées pour le mélange de pièces. Dans les premiers incidents, Lazarus utilisait souvent des échanges centralisés pour obtenir du capital de départ ou effectuer des OTC ultérieurs, mais de moins en moins d'échanges centralisés sont utilisés récemment, et on pourrait même penser qu'ils essaient d'éviter autant que possible d'utiliser des échanges centralisés. Cela devrait être lié à plusieurs incidents récents de sanctions.

VI. Sanctions et Réglementation

Des agences telles que le Bureau du contrôle des avoirs étrangers (OFAC) du Trésor américain et des agences similaires dans d'autres pays adoptent des sanctions contre des pays, des régimes, des individus et des entités jugés être une menace pour la sécurité nationale et la politique étrangère. Traditionnellement, l'application des sanctions reposait sur la coopération des institutions financières classiques, mais certains acteurs malveillants se sont tournés vers les cryptomonnaies pour contourner ces intermédiaires tiers, créant de nouveaux défis pour les décideurs politiques et les agences de sanctions. Cependant, la transparence inhérente des cryptomonnaies et la volonté de se conformer aux services de cryptomonnaie, en particulier les nombreuses bourses centralisées qui servent de lien entre les cryptomonnaies et les monnaies fiduciaires, ont prouvé qu'il est possible d'imposer des sanctions dans le monde des cryptomonnaies.

Voici un aperçu de certaines des personnes ou entités liées aux cryptomonnaies qui ont été sanctionnées aux États-Unis en 2023, ainsi que les raisons des sanctions de l'OFAC.

Tether, la société derrière la plus grande cryptomonnaie stable au monde, a annoncé le 9 décembre 2023 qu'elle allait « geler » les jetons dans les portefeuilles des individus sanctionnés figurant sur la liste de l'Office of Foreign Assets Control (OFAC) des États-Unis. Dans son annonce, Tether a considéré cette démarche comme une mesure volontaire visant à « prévenir de manière proactive toute utilisation potentielle abusive des jetons Tether et à renforcer les mesures de sécurité.

Cela montre également que l'enquête et la répression des crimes liés aux cryptomonnaies ont atteint une étape substantielle. La coopération entre les entreprises centrales et les agences de l'application des lois peut former des sanctions efficaces pour surveiller et punir les crimes liés aux cryptomonnaies.

En ce qui concerne la réglementation du Web3 en 2023, Hong Kong a également fait d’énormes progrès et sonne la trompette pour « développer de manière conforme » les marchés du Web3 et des crypto-monnaies. Lorsque l’Autorité monétaire de Singapour a commencé à restreindre l’utilisation de l’effet de levier ou du crédit par les clients de détail pour les transactions en crypto-monnaies en 2022, le gouvernement de la RASHK a publié une « Déclaration de politique sur le développement des actifs virtuels à Hong Kong », et certains talents et entreprises du Web3 sont allés vers une nouvelle terre promise.

Le 1er juin 2023, Hong Kong a rempli la déclaration et a publié les “Lignes directrices pour les opérateurs de plateformes de trading d'actifs virtuels”. Le système de licence de plateforme de trading d'actifs virtuels a été officiellement mis en œuvre, et les licences de Classe 1 (trading de titres) et de Classe 7 (fourniture de services de trading automatisés) ont été délivrées.

Actuellement, des organisations telles que OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus et DFX Labs demandent activement des licences de plateforme de trading d'actifs virtuels (VASP).

Le directeur général Li Jiachao, le secrétaire financier Chen Maobo et d’autres se sont fréquemment exprimés au nom du gouvernement de Hong Kong pour soutenir le lancement du Web3 à Hong Kong et attirer des entreprises et des talents cryptographiques du monde entier. En termes de soutien politique, Hong Kong a introduit un système de licence pour les fournisseurs de services d’actifs virtuels, qui permet aux investisseurs particuliers d’échanger des crypto-monnaies, a lancé un fonds d’écosystème Web3 Hub de 10 millions de dollars et prévoit d’investir plus de 700 millions de dollars HK pour accélérer le développement de l’économie numérique et promouvoir le développement de l’industrie des actifs virtuels. Elle a également mis en place un groupe de travail sur le développement du Web 3.0.

Cependant, alors que d'énormes progrès étaient réalisés, des événements risqués ont également profité de l'élan. L'échange de crypto non autorisé JPEX a impliqué plus d'un milliard de HK$, l'affaire de fraude HOUNAX a impliqué plus de 100 millions de yuans, HongKongDAO et BitCuped ont été soupçonnés de fraude aux actifs virtuels... Ces incidents vicieux ont attiré l'attention de la Commission de réglementation des valeurs mobilières de Hong Kong et de la police. La Commission de réglementation des valeurs mobilières de Hong Kong a déclaré qu'elle élaborera des lignes directrices d'évaluation des risques pour les affaires liées aux actifs virtuels avec la police et échangera des informations sur une base hebdomadaire.

Je crois que dans un avenir proche, un système réglementaire et de sécurité plus complet aidera Hong Kong, en tant que plaque tournante financière importante entre l'Est et l'Ouest, à ouvrir ses bras à Web3.

Avertissement：

1. Cet article est repris de [ AICOIN]. Tous les droits d'auteur appartiennent à l'auteur original [SharkTeam]. Si vous avez des objections à cette réimpression, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.