Em 2023, a indústria Web3 sofreu mais de 940 incidentes de segurança, grandes e pequenos, o que representou um aumento de mais de 50% em comparação com 2022, e perdeu $1.79 biliões. Entre eles, o terceiro trimestre teve o maior número de incidentes de segurança (360 casos) e a maior perda ($7.4 biliões), e as perdas aumentaram 47% em relação a 2022. Em particular, em julho, ocorreram 187 incidentes de segurança, e as perdas atingiram US$350 milhões.

Figura: Número de incidentes de segurança trimestrais/mensais para Web 3 2023

Figura: Perdas trimestrais/mensais de incidentes de segurança da Web 3 em 2023 (em milhões de dólares)

Em primeiro lugar, os ataques de hackers ainda são uma das principais causas de perdas significativas. Houve 216 incidentes de hacking ao longo de 2023, causando perdas de $1.06 bilião. Violações de contratos, roubo de chaves privadas, ataques de phishing e hacking nacional ainda são razões importantes que ameaçam a segurança do ecossistema Web3.

Em segundo lugar, os casos de Rugpull e fraude no tesouro estão a aumentar. Houve 250 casos de Rugpull e fraude em esquemas em 2023, com a ocorrência mais frequente desses incidentes na BNBChain. Os projetos fraudulentos atraem investidores para participar ao publicar projetos de cripto aparentemente atrativos e fornecer alguma liquidez falsa. Uma vez que são atraídos fundos suficientes, todos os fundos são repentinamente roubados e os ativos transferidos. Esse tipo de fraude causa sérias perdas financeiras aos investidores e também aumenta significativamente a dificuldade para os investidores escolherem o projeto certo.

Além disso, o ransomware está a tornar-se uma tendência a usar criptomoedas para recolher resgates, como Lockbit, Conti, Suncrypt e Monti. As criptomoedas são mais difíceis de rastrear do que o dinheiro fiduciário, e a forma de utilizar ferramentas de análise on-chain para rastrear e localizar grupos de ransomware está também a tornar-se mais importante.

Finalmente, em atividades criminosas como ataques de hacking de criptomoeda e extorsão fraudulenta, os criminosos muitas vezes precisam lavar dinheiro através de transferências de fundos on-chain e OTC após obter criptomoeda. A lavagem de dinheiro geralmente utiliza uma combinação de métodos descentralizados e centralizados. As exchanges centralizadas são os lugares mais concentrados para a lavagem de dinheiro, seguidas pelas plataformas de mistura de moedas on-chain.

2023 também é um ano de desenvolvimento substancial na regulamentação do Web3. FTX2.0 foi reiniciado, a Binance foi sancionada, endereços banidos do USDT como o Hamas, e a SEC aprovou um ETF de Bitcoin spot em janeiro de 2024. Esses eventos marcantes indicam que a regulamentação está profundamente envolvida no desenvolvimento do Web3.

Este relatório irá realizar uma análise sistemática de tópicos-chave como o ataque de hacking Web3 de 2023, fraude Rugpull, ransomware, lavagem de dinheiro de criptomoeda, regulamentação Web3, etc., para compreender o panorama de segurança do desenvolvimento da indústria de criptomoedas.

1. Lacunas contratuais

Os ataques de vulnerabilidades de contrato ocorreram principalmente na Ethereum. Na segunda metade de 2023, ocorreram 36 ataques de vulnerabilidades de contrato na Ethereum, com perdas superiores a 200 milhões de dólares dos EUA, seguidos pelo BNBChain. Em termos de métodos de ataque, falhas na lógica de negócios e ataques de empréstimos rápidos ainda são os mais comuns.

Figura: Incidentes e Perdas Trimestrais de Hacking da Web 3 2023 (em milhões de dólares)

Figura: Número e montante de exploits mensais de contratos e ataques de hacking na Web 3 2023H2

Figura: Número de ataques de exploração de contratos e montantes de perda por mês em diferentes cadeias Web 3 2023H2

Figura: O número e o valor das perdas causadas pela vulnerabilidade do contrato Web 3 2023H2 usando métodos de ataque específicos

Análise típica de eventos: Vulnerabilidades Vyper causam ataques a projetos como Curve e JPEG'd

Tomemos o exemplo do JPEG'd sendo atacado:

Endereço do atacante: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Contrato do atacante: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Transações de ataque:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Os atacantes (0x6ec21d18) criaram um contrato 0x466B85B4 e emprestaram 80,000 WETH do [Balancer: Vault] através de empréstimos flash.

(2) Os atacantes (0x6ec21d18) adicionaram 40.000 WETH à piscina de liquidez peth-ETH-F (0x9848482d) e obtiveram 32.431 pETH.

(3) Posteriormente, os atacantes (0x6ec21d18) removeram repetidamente a liquidez da pool de liquidez peth-ETH-F (0x98482D).

(4) No final, os atacantes (0x6ec21d18) obtiveram 86.106 WETH, e depois de devolver o empréstimo flash, um lucro de 6.106 WETH deixou o mercado.

Análise de vulnerabilidades: Este ataque é um ataque de reentrada típico. Decompilação de bytecode do contrato do projeto atacado. Podemos ver pela figura seguinte: as funções add_liquidity e remove_liquidity não são as mesmas ao verificar o valor do slot de armazenamento. Ao utilizar um slot de armazenamento diferente, o bloqueio de reentrada pode não funcionar. Neste ponto, suspeita-se que seja um bug de design subjacente do Vyper.

Combinado com o tweet oficial de Curve. Em última análise, o alvo foi um bug da versão Vyper. Esta vulnerabilidade existe nas versões 0.2.15, 0.2.16 e 0.3.0 e existe uma falha no design do bloqueio de reentrada. Comparamos 0.2.14 e 0.3.0 antes de 0.2.15 Mais tarde, na versão 0.3.1, descobriu-se que esta parte do código estava constantemente a ser atualizada. As versões 0.2.14 antigas e 0.3.1 mais recentes não tinham esse problema.

No arquivo de configurações relacionadas ao bloqueio de reentrada data_positions.py correspondente ao Vyper, o valor storage_slot será substituído. No ret, o slot que primeiro adquiriu o bloqueio é 0, então quando a função é chamada novamente, o slot de bloqueio será aumentado em 1. Neste ponto, o bloqueio de reentrada expirará.

II. Ataques de phishing

Os ataques de phishing são um tipo de ciberataque projetado para enganar e induzir alvos a obter informações sensíveis ou induzi-los a realizar ações maliciosas. Este tipo de ataque geralmente é realizado por e-mail, mídias sociais, SMS ou outros canais de comunicação. Os agressores se disfarçam de entidades confiáveis, como partes de projetos, autoridades, KOLs, etc., para atrair vítimas a fornecer chaves privadas, mnemônicos ou autorização de transação. Semelhante aos ataques de vulnerabilidade de contrato, os ataques de phishing mostraram alta incidência e grandes perdas no terceiro trimestre. Um total de 107 ataques de phishing ocorreram, dos quais 58 ocorreram em julho.

Figura: Número de ataques de phishing e perdas por trimestre na Web 3 2023 (milhões de dólares)

Figura: Número de ataques mensais de phishing na Web 3 2023

Análise de transferências de ativos on-chain de ataques típicos de phishing

Em 7 de setembro de 2023, o endereço (0x13e382) foi atingido por um ataque de phishing e perdeu mais de US$ 24 milhões. Os hackers de phishing usaram roubo de fundos, troca de fundos e transferências descentralizadas de fundos. Dos fundos finais perdidos, 3.800 ETH foram transferidos para o Tornado.Cash em lotes, 10.000 ETH foram transferidos para um endereço intermediário (0x702350) e 1078.087 DAI permanecem no endereço intermediário (0x4F2F02).

Este é um ataque de phishing típico. Ao roubar ativos do usuário fraudando autorizações de carteira ou chaves privadas, os invasores formaram uma cadeia negra de phishing + lavagem de dinheiro. Atualmente, cada vez mais gangues de fraude e até mesmo hackers nacionais usam métodos de phishing para cometer crimes no campo Web3, o que requer atenção e vigilância de todos.

De acordo com a plataforma de análise de dados em cadeia on-chain da SharkTeam ChainAegis (https://app.chainaegis.com/)Na análise de acompanhamento, iremos analisar o processo de fraude de ataques de phishing típicos, a transferência de fundos e o comportamento on-chain dos fraudadores.

(1) Processo de ataque de phishing

O endereço da vítima (0x13e382) concede rETH e stETH ao endereço do scammer 1 (0x4c10a4) via 'Aumentar Autorização'.

O endereço do golpista 1 (0x4c10a4) transferiu 9.579 stETH da conta do endereço da vítima (0x13e382) para o endereço do golpista 2 (0x693b72) por um valor de aproximadamente 15,32 milhões de dólares.

O endereço do golpista 1 (0x4c10a4) transferiu 4.850 rETH da conta do endereço da vítima (0x13e382) para o endereço do golpista 2 (0x693b72) no valor de aproximadamente $8.41 milhões.

(2) Troca e transferência de ativos

Trocar stETH e rETH roubados por ETH. A partir das primeiras horas da manhã de 07-09-2023, o endereço do scammer 2 (0x693b72) realizou várias transações de câmbio nas plataformas UniSwapV2, UniSwapv3 e Curve, trocando todos os 9.579 stETH e 4.850 rETH por ETH, num total de 14.783,9413 ETH.

Intercâmbio stETH:

Troca rETH:

Troque um pouco de ETH por DAI. O endereço 2 (0x693b72) do golpista trocou 1.000 ETH por 1.635.047,761675421713685327 através da plataforma UniSwapv3 DAI. Os fraudadores usaram transferências descentralizadas de fundos para vários endereços intermediários de carteiras, totalizando 1.635.139 DAI e 13.785 ETH. Destes, 1.785 ETH foram transferidos para um endereço intermediário (0x4F2F02), 2.000 ETH foram transferidos para um endereço intermediário (0x2ABDC2) e 10.000 ETH foram transferidos para um endereço intermediário (0x702350). Além disso, o endereço intermediário (0x4F2F02) recebeu 1.635.139 DAI no dia seguinte

Transferência de fundos do endereço da carteira intermediária (0x4F2F02):

O endereço passou por uma transferência de fundos escalonada e tem 1.785 ETH e 1.635.139 DAI. Transferência descentralizada de fundos DAI, e pequenas quantidades convertidas em ETH

Primeiro, os golpistas começaram a transferir 529.000 DAI através de 10 transações nas primeiras horas da manhã de 07-09-2023. Subsequentemente, os primeiros 7 totais de 452.000 DAIs foram transferidos do endereço intermediário para 0x4E5B2E (fixedFloat), o oitavo, do endereço intermediário para 0x6CC5F6 (OKX), e os últimos 2 totalizando 77.000 DAIs foram transferidos do endereço intermediário para 0xF1DA17 (exCH).

Em segundo lugar, em 10 de setembro, 28.052 DAI foram trocados por 17,3 ETH via UniswapV2.

De 8 a 11 de setembro, foram realizadas 18 transações e os 1.800 ETH foram todos transferidos para a Tornado.Cash.

Após a transferência, o endereço acabou por deixar os fundos roubados 1078,087 DAI que não foram transferidos.

Transferência de fundos para um endereço intermediário (0x2ABDC2):

O endereço foi transferido através de um nível de fundos e tem 2.000 ETH. Primeiro, o endereço transferiu 2000ETH para um endereço intermediário (0x71C848) em 11 de setembro.

O endereço intermediário (0x71C848) transferiu então fundos através de duas transferências de fundos em 11 de setembro e 1 de outubro, respetivamente, num total de 20 transações, 100 ETH cada, totalizando 2000 ETH para a Tornado.Cash.

O endereço foi transferido através de um nível de fundos e detém 10.000 ETH. Em 08 de outubro de 2023, 10.000 ETH não foi transferido para a conta deste endereço.

Rastreamento de pista de endereço: Após analisar as transações históricas do endereço do golpista 1 (0x4c10a4) e do endereço do golpista 2 (0x693b72), descobriu-se que um endereço EOA (0x846317) transferiu 1,353 ETH para o endereço do golpista 2 (0x693b72), e a origem dos fundos para este endereço EOA envolveu os endereços da carteira quente das exchanges centralizadas KuCoin e Binance.

III. Rugpull and Fraude

A frequência de incidentes de fraude Rugpull em 2023 mostrou uma tendência significativamente crescente. O Q4 atingiu 73 casos, com um valor de perda de US$19 milhões, com uma perda única média de cerca de US$26.000. O trimestre com a maior participação de perdas por fraude Rugpull em todo o ano foi o Q2, seguido pelo Q3, que representou mais de 30% das perdas.

Na segunda metade de 2023, houve um total de 139 incidentes de Rugpull e 12 incidentes de fraude, que resultaram em perdas de $71.55 milhões e $340 milhões, respectivamente.

Os eventos de rugpull ocorreram principalmente na BNBChain no segundo semestre de 2023, atingindo 91 vezes, representando mais de 65%, e perdas no valor de US$ 29,57 milhões, representando 41% das perdas. Ethereum (44 vezes) seguiu, com um prejuízo de US$ 7,39 milhões. Além do Ethereum e BNBChain, o incidente BALD Rugpull ocorreu na Base Chain em agosto, causando sérios prejuízos de US$ 25,6 milhões.

Figura: Número de incidentes e perdas de Rugpull e Scam por trimestre para a Web 3 2023 (milhões de dólares)

Figura: Número de incidentes de Rugpull e Scam e perdas por mês na Web 3 2023H2

Figura: Número de incidentes mensais de Rugpull e montantes de perda em diferentes cadeias Web 3 2023H2

Análise de comportamento da fábrica de fraudes Rugpull

Um modelo de fábrica de fraude Rug é popular na BNBChain para produzir em massa tokens Rugpull e cometer fraudes. Vamos dar uma olhada no padrão de fraude da fábrica Rugpull de SEI, X, TIP e Blue falsos.

(1) SEI

Primeiro, o detentor falso do token SEI 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 trocou 249 SEIs falsos por 1U.

Então, 0x6f9963448071b88fb23fd9971d24a87e5244451A realizou operações de compra e venda em massa. Sob as operações de compra e venda, a liquidez do token aumentou consideravelmente, e o preço também aumentou.

Através de phishing e outros métodos de promoção, um grande número de utilizadores é tentado a comprar. À medida que a liquidez aumenta, o preço do token duplica.

Quando o preço do token atinge um certo valor, o proprietário do token entra no mercado e vende para realizar uma operação de Rugpull. Como pode ser visto na imagem abaixo, o período de entrada na colheita e o preço são todos diferentes.

(2) Falso X, falso TIP, falso Blue

Primeiro, os detentores de tokens X, TIP e Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 trocados 1U pelo token correspondente. Então, como um token Sei falso.

Operações de compra e venda em massa. Sob operações de compra e venda, a liquidez aumentou consideravelmente e os preços subiram.

Foi então promovido através de phishing e outros canais para atrair um grande número de utilizadores a fazer compras. À medida que a liquidez aumentava, o preço do token duplicou.

Como um SEI falso, quando o preço do token atinge um certo valor, o proprietário do token entra no mercado para vender e realizar uma operação de Rugpull. Como pode ser visto na imagem abaixo, o período e preço da colheita de entrada são todos diferentes.

O gráfico de flutuação para os tokens falsos SEI, X falso, TIP falso e Blue falso é o seguinte:

Podemos aprender com a rastreabilidade dos fundos e padrões comportamentais:

No conteúdo de rastreabilidade do fundo, os fundos do criador da fábrica de moedas e do criador do token vêm de várias contas EOA. Existem também transações financeiras entre diferentes contas. Alguns deles são transferidos através de endereços de phishing, alguns são obtidos através de tokens Rugpull anteriores, e outros são obtidos através de plataformas mistas, como o Tornado Cash. A transferência de fundos de várias formas visa a construção de redes financeiras complexas e intrincadas. Vários endereços também criaram vários contratos de fábrica de tokens e tokens produzidos em massa.

Ao analisar o comportamento do token Rugpull, encontramos o endereço

0x6f9963448071b88fb23fd9971d24a87e5244451a é uma das fontes de financiamento. O método de lote também é usado para manipular os preços dos tokens. O endereço 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 também atua como fornecedor de financiamento, fornecendo fundos correspondentes a vários detentores de tokens.

Através da análise, pode-se ver que por trás desta série de atos, existe uma gangue de fraude Web3 com uma clara divisão de trabalho, formando uma cadeia industrial negra. Envolve principalmente a coleta de pontos quentes, emissão automática de moedas, negociação automatizada, publicidade falsa, ataques de phishing e colheita de Rugpull, que ocorreram principalmente na BNBChain. Os tokens Rugpull falsos emitidos estão todos intimamente relacionados com eventos quentes na indústria, e são altamente confusos e encorajadores. Os utilizadores devem estar sempre alerta, ser racionais e evitar perdas desnecessárias.

IV. Ransomware

A ameaça dos ataques de ransomware em 2023 continua a ameaçar constantemente instituições e negócios. Os ataques de ransomware estão a tornar-se mais sofisticados, e os atacantes utilizam uma variedade de técnicas para explorar vulnerabilidades nos sistemas e redes das organizações. Os ataques de ransomware em proliferação continuam a representar uma grande ameaça para as organizações empresariais, indivíduos e infraestruturas críticas em todo o mundo. Os atacantes estão constantemente a adaptar e a refinar as suas estratégias de ataque, utilizando código fonte divulgado, esquemas de ataque inteligentes e linguagens de programação emergentes para maximizar os seus lucros ilegais.

LockBit, ALPHV/BlackCat e BlackBasta são atualmente as organizações de ransomware mais ativas.

Figura: Número de vítimas de organizações de extorsão

Atualmente, cada vez mais ransomware utiliza métodos de pagamento de criptomoedas. Tome Lockbit como exemplo. As empresas recentemente atacadas pelo Lockbit incluem a TSMC no final de junho deste ano, a Boeing em outubro e a subsidiária integralmente detida pelos EUA do Banco Industrial e Comercial da China em novembro. A maioria delas usa Bitcoin para recolher o resgate, e o LockBit irá lavar o dinheiro das criptomoedas após receber o resgate. Vamos analisar o modelo de lavagem de dinheiro do ransomware usando o Lockbit como exemplo.

De acordo com a análise da ChainAegis, o ransomware LockBit usa principalmente BTC para recolher resgates, utilizando diferentes endereços de pagamento. Alguns endereços e montantes de pagamento estão organizados da seguinte forma. Os BTCs numa única extorsão variaram de 0,07 a 5,8, variando de cerca de $2.551 a $211.311.

Figura: Endereço parcial de pagamento do LockBit e montante do pagamento

O rastreamento de endereços on-chain e a análise de prevenção à lavagem de dinheiro foram realizados usando os dois endereços com os maiores montantes envolvidos:

Endereço de recebimento do resgate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Endereço do destinatário do resgate 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Endereço de coleção de resgate 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

De acordo com a análise abaixo, o Endereço 1 (1Ptfhw) recebeu um total de 17 transações on-chain de 25 de março de 2021 a 15 de maio de 2021. Após receber os fundos, os ativos foram rapidamente transferidos para 13 endereços intermediários principais. Estes endereços intermediários são transferidos através da camada de financiamento para 6 endereços intermediários de segundo nível, nomeadamente: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4 e 13CPvF… Lpdp.

O endereço intermediário 3fVzPx… cuvH, através de análise on-chain, descobriu-se que seu fluxo final para o endereço da dark web 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P foi descoberto.

O endereço intermediário 13cPVf... Lpdp transferiu uma pequena quantidade de 0,00022 BTC para a CoinPayments. Houve 500 transações semelhantes e um total de 0,21 BTC foram coletados para o endereço da CoinPayments: bc1q3y... 7y88 para lavagem de dinheiro usando a CoinPayments.

Outros endereços intermediários acabaram fluindo para as bolsas centralizadas Binance e Bitfinex.

Figura: Endereço 1 (1Ptfhw… hPEM) Detalhes das Fontes de Financiamento e Fluxo de Saída

Figura: Rastreamento do fluxo de dinheiro do endereço 1 (1Ptfhw… hPem)

Figura: Detalhes dos endereços intermediários e fluxos de dinheiro envolvidos no endereço 1 (1Ptfhw… hPEM)

Figura: Mapa de transações do endereço 1 (1Ptfhw... hPEM)

(2) Endereço de Recebimento de Extorsão 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

A vítima pagou 4,16 BTC ao operador de resgate LockBit em 11 transações entre 24 de maio de 2021 e 28 de maio de 2021. Imediatamente, o endereço 2 (1hpz7rn… vVPH) transferiu rapidamente 1,89 BTC dos fundos de resgate para o endereço intermediário 1: bc1qan… 0ac4, 1,84 para o endereço intermediário 2:112qjqj… Sdha, 0,34 O item segue para o endereço intermediário 3:19Uxbt… 9rdF.

O endereço intermediário final 2:112qJqj ... Sdha e o endereço intermediário 3:19Uxbt ... 9rdF transferiram fundos para o endereço intermediário 1: bc1qan ... 0ac4. Imediatamente após isso, o endereço intermediário 1 bc1qan ... 0ac4 continuou a transferir fundos. Uma pequena parte dos fundos foi transferida diretamente para a exchange Binance, e a outra parte dos fundos foi transferida camada por camada através do endereço intermediário e eventualmente transferida para a Binance e outras plataformas para a lavagem de dinheiro. Os detalhes específicos da transação e as tags de endereço são os seguintes.

Figura: Endereço 2 (1hpz7rn… vVPH) Detalhes das Fontes de Financiamento e Fluxo de Saída

Figura: Rastreamento de fluxo de fundos do endereço 2 (1hpz7rn… vVPH)

Figura: Detalhes dos endereços intermediários e fluxos de dinheiro envolvidos no endereço 2 (1hpz7rn… vVPH)

LockBit irá lavar dinheiro da criptomoeda após receber o resgate. Ao contrário dos métodos tradicionais de lavagem de dinheiro, este modelo de lavagem de dinheiro geralmente ocorre na blockchain. Tem as características de ciclo longo, fundos dispersos, alta automação e alta complexidade. Para realizar a supervisão de criptomoedas e rastreamento de fundos, por um lado, é necessário construir capacidades de análise e forense on-chain e off-chain e, por outro lado, é necessário realizar ataques de segurança de nível APT e defesa a nível de segurança de rede, com a capacidade de integrar ataque e defesa.

5. LAVAGEM DE DINHEIRO

A lavagem de dinheiro (lavagem de dinheiro) é um ato de legalizar receitas ilegais. Refere-se principalmente à legalização formal de receitas ilegais e às receitas geradas ao ocultar a origem e a natureza das receitas ilegais através de vários meios. Tais atos incluem, mas não se limitam a, fornecer contas financeiras, auxiliar na conversão de formas de propriedade e auxiliar na transferência de fundos ou remessas para o exterior. No entanto, as criptomoedas — especialmente stablecoins — têm sido usadas para a lavagem de dinheiro há bastante tempo devido aos seus baixos custos de transferência, deslocalização e certas propriedades resistentes à censura, o que é uma das principais razões pelas quais as criptomoedas têm sido criticadas.

As atividades tradicionais de lavagem de dinheiro frequentemente utilizam o mercado de balcão (OTC) de criptomoedas para trocar moeda fiduciária por criptomoeda, ou de criptomoeda por moeda fiduciária. Entre elas, os cenários de lavagem de dinheiro são diferentes e as formas são diversas, mas independentemente da natureza desses atos, eles visam bloquear a investigação dos vínculos de capital por parte dos agentes da aplicação da lei, incluindo contas de instituições financeiras tradicionais ou contas de instituições criptográficas.

Ao contrário das atividades tradicionais de lavagem de dinheiro, o alvo do novo tipo de atividade de lavagem de dinheiro de criptomoeda é a própria criptomoeda, e a infraestrutura da indústria cripto, incluindo carteiras, pontes entre cadeias, plataformas de negociação descentralizadas, etc., serão todas usadas ilegalmente.

Figura: Montante de dinheiro lavado nos últimos anos

De 2016 a 2023, as criptomoedas lavaram um total de 147,7 mil milhões de dólares. Desde 2020, o montante de dinheiro lavado continuou a aumentar a uma taxa de 67% ao ano, atingindo 23,8 mil milhões de dólares em 2022 e chegando a atingir até 80 mil milhões de dólares em 2023. A quantidade de dinheiro lavado é espantosa e as ações de combate à lavagem de dinheiro são imperativas.

De acordo com as estatísticas da plataforma ChainAegis, a quantidade de fundos na plataforma de mistura de moedas on-chain Tornado Cash tem mantido um crescimento rápido desde janeiro de 2020. Atualmente, quase 3,62 milhões de depósitos de ETH foram feitos neste pool de fundos, com um depósito total de 7,8 bilhões de dólares americanos. Tornado Cash tornou-se o maior centro de lavagem de dinheiro do Ethereum. No entanto, como a agência de aplicação da lei dos EUA emitiu um documento sancionando o Tornado Cash em agosto de 2022, o número de depósitos e saques semanais do Tornado Cash caiu exponencialmente, mas devido à natureza descentralizada do Tornado Cash, era impossível detê-los na fonte, e os fundos continuaram a entrar no sistema para misturar moedas.

Análise do Modelo de Lavagem de Dinheiro do Grupo Lazarus (Organização APT da Coreia do Norte)

As organizações nacionais APT (Ameaça Persistente Avançada) são os principais grupos de hackers com apoio nacional que visam alvos específicos por longos períodos de tempo. O grupo norte-coreano APT Lazarus é um gangue APT muito ativo. O principal objetivo do ataque é roubar fundos, o que pode ser chamado de maior ameaça para as instituições financeiras globais. Eles são responsáveis por muitos ataques e casos de roubo de capital no setor de criptomoedas nos últimos anos.

Os incidentes de segurança e perdas dos ataques de Lazarus no campo criptográfico que foram claramente contados até agora são os seguintes:

Mais de 3 mil milhões de dólares americanos foram roubados por Lazarus num ataque cibernético. Segundo relatos, o grupo de hackers Lazarus é apoiado pelos interesses estratégicos da Coreia do Norte para financiar os programas nucleares e de mísseis balísticos da Coreia do Norte. Para esse fim, os EUA anunciaram uma recompensa de 5 milhões de dólares para sancionar o grupo de hackers Lazarus. O Departamento do Tesouro dos EUA também adicionou endereços relevantes à lista de Nacionais Especialmente Designados (SDN) da OFAC, proibindo indivíduos, entidades e endereços relacionados dos EUA de negociar para garantir que grupos financiados pelo estado não possam resgatar esses fundos, impondo assim sanções. O desenvolvedor do Ethereum Virgil Griffith foi condenado a 5 anos e 3 meses de prisão por ajudar a Coreia do Norte a evadir sanções usando moeda virtual. Em 2023, a OFAC também sancionou três pessoas associadas ao Grupo Lazarus. Duas das sancionadas, Cheng Hung Man e Wu Huihui, eram negociantes OTC que facilitaram transações de criptomoeda para o Lazarus, enquanto uma terceira parte, Sim Hyon Sop, forneceu outro apoio financeiro.

Apesar disso, o Lazarus completou mais de $1 bilhão em transferências e limpezas de ativos, e o seu modelo de lavagem de dinheiro é analisado abaixo. Tome o incidente da Atomic Wallet como exemplo. Após remover os disruptores técnicos definidos pelo hacker (um grande número de transações de transferência de token falsas + divisões de endereços múltiplos), o modelo de transferência de fundos do hacker pode ser obtido:

Figura: Atomic Wallet Victim 1 Fund Transfer View

Vítima 1 transfere 304,36 ETH do endereço 0xb02d… c6072 para o endereço do hacker 0x3916... 6340 e, após 8 parcelas através do endereço intermediário 0x0159... 7b70, retorna para o endereço 0x69ca… 5324. Os fundos arrecadados foram desde então transferidos para o endereço 0x514c… 58f67. Atualmente, os fundos ainda estão neste endereço e o saldo de ETH do endereço é de 692,74 ETH (no valor de $1,27 milhões).

Figura: Visualização da Transferência de Fundos da Vítima 2 da Carteira Atômica

A vítima 2 transferiu 1.266.000 USDT do endereço 0x0b45... d662 para o endereço do hacker 0xf0f7... 79b3. O hacker dividiu em três transações, duas das quais foram transferidas para Uniswap, totalizando 1.266.000 USDT; a outra transferência foi feita para o endereço 0x49ce... 80fb, com um montante de transferência de 672,71 ETH. A vítima 2 transferiu 22.000 USDT para o endereço do hacker 0x0d5a... 08c2. O hacker coletou os fundos diretamente ou indiretamente para o endereço 0x3c2e... 94a8 através de múltiplas parcelas através de endereços intermediários 0xec13... 02d6, etc.

Este modelo de lavagem de dinheiro é altamente consistente com o modelo de lavagem de dinheiro nos ataques anteriores à Rede Ronin e à Harmony, e todos incluem três etapas:

(1) Consolidação e troca de fundos roubados: Após o ataque ser lançado, os tokens roubados originais são separados e vários tokens são trocados por ETH através de DEX e outros métodos. Esta é uma forma comum de contornar o congelamento de fundos.

(2) Recolha de fundos roubados: Recolha do ETH classificado em vários endereços de carteira descartáveis. No incidente de Ronin, os hackers compartilharam 9 endereços desse tipo, o Harmony usou 14 e o incidente da Atomic Wallet usou quase 30 endereços.

(3) Transferência de fundos roubados: Use o endereço de coleta para lavar dinheiro através do Tornado.Cash. Isto completa todo o processo de transferência de dinheiro.

Para além de ter as mesmas etapas de lavagem de dinheiro, também existe um elevado grau de consistência nos detalhes da lavagem de dinheiro:

(1) Os atacantes são muito pacientes. Todos eles levaram até uma semana para realizar operações de lavagem de dinheiro, e todos começaram operações de lavagem de dinheiro de acompanhamento alguns dias após o incidente ocorrer.

(2) As transações automatizadas são utilizadas no processo de branqueamento de capitais. A maioria das ações de recolha de dinheiro tem um grande número de transações, pequenos intervalos de tempo e um modelo uniforme.

Através da análise, acreditamos que o modelo de lavagem de dinheiro de Lázaro é geralmente o seguinte:

(1) Divida contas e transfira ativos em pequenas quantidades e múltiplas transações para tornar o rastreamento mais difícil.

(2) Comece a fabricar um grande número de transações de moeda falsificada para tornar o rastreamento mais difícil. Tomando o incidente da Carteira Atômica como exemplo, 23 dos 27 endereços intermediários eram todos endereços de transferência de dinheiro falsificado. Tecnologia semelhante foi recentemente descoberta na análise do incidente Stake.com, mas os incidentes anteriores da Rede Ronin e da Harmony não tinham essa tecnologia de interferência, o que indica que a tecnologia de lavagem de dinheiro do Lazarus também foi atualizada.

(3) Mais métodos on-chain (como o Tonado Cash) são usados para mistura de moedas. Em incidentes anteriores, Lazarus frequentemente usava exchanges centralizadas para obter capital inicial ou realizar OTC subsequente, mas recentemente menos e menos exchanges centralizadas estão sendo utilizadas, podendo até ser pensado que estão tentando evitar o uso de exchanges centralizadas tanto quanto possível. Isso deve estar relacionado a vários incidentes recentes de sanções.

VI. Sanções e Regulamentação

Agências como o Escritório de Controle de Ativos Estrangeiros (OFAC) do Tesouro dos EUA e agências similares em outros países adotam sanções contra países, regimes, indivíduos e entidades considerados uma ameaça à segurança nacional e à política externa. Tradicionalmente, a aplicação de sanções tem contado com a cooperação das principais instituições financeiras, mas alguns maus atores se voltaram para as criptomoedas para contornar esses intermediários de terceiros, criando novos desafios para os formuladores de políticas e agências sancionadoras. No entanto, a transparência inerente às criptomoedas e a vontade de cumprir os serviços de criptomoedas, particularmente as muitas exchanges centralizadas que atuam como um elo entre criptomoedas e moedas fiduciárias, provaram que impor sanções é possível no mundo das criptomoedas.

Aqui está uma visão de algumas das pessoas ou entidades ligadas às criptomoedas que foram sancionadas nos EUA em 2023, e os motivos das sanções do OFAC.

A Tether, empresa por trás da maior stablecoin do mundo, anunciou em 9 de dezembro de 2023 que vai "congelar" tokens nas carteiras de indivíduos sancionados na lista de indivíduos sancionados do Escritório de Controle de Ativos Estrangeiros dos EUA (OFAC). Em seu anúncio, a Tether viu a mudança como um passo voluntário para "prevenir proativamente qualquer potencial uso indevido do token Tether e melhorar as medidas de segurança".

Isso também mostra que a investigação e punição de crimes de criptomoeda entraram em uma fase substancial. A cooperação entre as empresas centrais e as agências de aplicação da lei pode formar sanções eficazes para monitorar e punir crimes de criptomoeda.

Em termos de regulamentação Web3 em 2023, Hong Kong também fez progressos tremendos e está a soar a trombeta para o desenvolvimento "em conformidade" dos mercados Web3 e de criptomoedas. Quando a Autoridade Monetária de Singapura começou a restringir clientes de retalho de usar alavancagem ou crédito para transações de criptomoedas em 2022, o Governo da RAEHK emitiu uma "Declaração de Política sobre o Desenvolvimento de Ativos Virtuais em Hong Kong", e alguns talentos e empresas Web3 foram para uma nova terra prometida.

Em 1º de junho de 2023, Hong Kong cumpriu a declaração e emitiu as "Diretrizes para Operadores de Plataforma de Negociação de Ativos Virtuais". O sistema de licença da plataforma de negociação de ativos virtuais foi oficialmente implementado, e as licenças de Classe 1 (negociação de títulos) e Classe 7 (fornecimento de serviços de negociação automatizada) foram emitidas.

Atualmente, organizações como OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus e DFX Labs estão a aplicar ativamente para licenças de plataforma de negociação de ativos virtuais (VASP).

O CEO Li Jiachao, o Secretário de Finanças Chen Maobo e outros têm falado frequentemente em nome do governo de Hong Kong para apoiar o lançamento do Web3 em Hong Kong e atrair empresas de cripto e talentos de todo o mundo para construir. Em termos de apoio político, Hong Kong introduziu um sistema de licenciamento para prestadores de serviços de ativos virtuais, que permite aos investidores de varejo negociar criptomoedas, lançou um fundo de ecossistema Web3 Hub de $10 milhões e planeia investir mais de HK$700 milhões para acelerar o desenvolvimento da economia digital e promover o desenvolvimento da indústria de ativos virtuais. Também criou uma força-tarefa de desenvolvimento da Web 3.0.

No entanto, quando grandes avanços estavam a ser feitos, eventos arriscados também aproveitaram o ímpeto. A bolsa de cripto não licenciada JPEX envolveu mais de 1 bilião de HK$, o caso de fraude HOUNAX envolveu mais de 100 milhões de yuan, o HongKongDAO e o BitCuped suspeitaram de fraude de ativos virtuais... Estes incidentes graves atraíram grande atenção da Comissão Reguladora de Valores Mobiliários de Hong Kong e da polícia. A Comissão Reguladora de Valores Mobiliários de Hong Kong afirmou que irá desenvolver orientações de avaliação de riscos para casos de ativos virtuais com a polícia e trocar informações numa base semanal.

Acredito que num futuro próximo, um sistema regulatório e de segurança mais completo ajudará Hong Kong, como um importante centro financeiro entre Oriente e Ocidente, a abrir os braços para a Web3.

Aviso legal：

1. Este artigo foi reproduzido a partir de [aicoin]. Todos os direitos de autor pertencem ao autor original [SharkTeam]. Se houver objeções a esta reimpressão, por favor entre em contato com o Gate Learnequipa e eles vão lidar com isso prontamente.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivamente as do autor e não constituem qualquer conselho de investimento.
3. As traduções do artigo para outros idiomas são feitas pela equipa do Gate Learn. Salvo indicação em contrário, é proibido copiar, distribuir ou plagiar os artigos traduzidos.