事件背景
2024年8月20日,以太坊上的一起钓鱼交易获利超过了5400万稳定币DAI。被抽空资金的地址是一个vault[1],由地址0xf2b8[2]在2020年建立并由Gemini[3]提供资金支持。网络钓鱼者诱骗受害者(该vault的原所有者)签名并发送了钓鱼交易[4],将vault的所有权更改为钓鱼者控制的地址。随后,钓鱼者然后又通过执行一笔交易[5]将vault内的资金转出。
•钓鱼地址(钓鱼者诱骗受害者将vault的所有权更改为该地址): 0x0000db5c8b030ae20308ac975898e09741e70000[6]•抽空vault的地址(vault资金流向该地址): 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4[7]•改变vault所有权的交易: 0x2805[8], 0xb721[9]•抽空vault的交易: 0xf700[10]
使用MetaSleuth进行资金流分析
2024年8月20日,受害vault的原所有者[11]被诱骗签署了一笔交易,将vault的所有权更改为网络钓鱼者控制的一个地址[12]。大约5小时后,网络钓鱼者又发起了一笔交易,将所有权进一步更改为一个新的地址[13]。在新地址获得对vault的完全控制约20分钟后,该地址签署了一笔交易[14],将vault中的5500万DAI提取一空。
随后不到两小时,所有非法获得的DAI代币都被转移到钓鱼者控制的下游地址,最初提取非法资金的地址0x5D4b[15]中已经不剩任何资金。一共有6个下游地址直接与地址0x5D4b[16]相连(即与该初始地址相距一跳)。其中,大部分DAI代币(约4400万)直接被转移到更深的下游地址,而另外的1000万DAI被swap为原生代币(3880枚)ETH,并转移到地址0x8cc5[17]。用于swap的去中心化交易协议是CoW Protocol: GPv2Settlement[18],对应的交易是0x7c63[19]。
下面是从初始地址到第一层下游地址的资金转移图,包含DAI的直接流动和swap成的ETH的流动:
在将非法资金转移到第一层下游地址后,钓鱼者开始分批将资金进一步转移到更深层的洗钱地址。在转移过程中,下游地址持有的DAI被逐渐swap为ETH。当非法资金到达与初始地址相隔4跳的下游地址时,所有被盗的DAI已经完全通过各种AMM兑换成了ETH,后续的资金流动全部以ETH转移的形式呈现。最终,这些非法资金以ETH的形式流入了中心化交易所(eXch[20]、KuCoin[21]、ChangeNOW[22])和跨链桥(THORChain[23]、Hop Protocol[24])(点击名称可查看这些提现地址。)以下是部分将非法收益存入eXch的交易示例:0x2e42[25],0xa982[26],0x1e1e[27],0xb7a9[28]。以下是部分将非法收益转移至THORChain的交易示例:0x5c06[29],0xf824[30],0x391e[31]
下图是部分资金从第二层洗钱地址(距离初始攻击地址两跳)到第五层洗钱地址(距离初始攻击地址五跳)的转移路径:
在将非法收益转移至深层下游地址的过程中,最长的转移路径达到了12跳,约8万美元的资金被转移至交易所KuCoin 17[32]。如下方的资金流向图所示,在2024年8月21日至22日期间,攻击者通过12跳路径逐步将38枚ETH转移至该中心化交易所。
钓鱼者在转移资金的过程中表现出一个特点:即为了避免因大额转账而引起过多关注,他们通常会将大笔资金拆分到多个地址,再通过较小的转账金额将资产转移到更深层的地址。下面是钓鱼者将165万DAI拆分成36笔小额交易的例子,拆分由位于第一层的地址0x860c[33]处理:
相关地址和交易
| 地址 | 交易 | 非法资金流 |
| 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 | 0xa11e[34], 0x9ef1[35] | 1,650,000 DAI |
| 0xdd6397104d57533e507bd571ac88c4b24852bce9 | 0x7af2[36], 0x1d45[37] | 36,733,858 DAI |
| 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc | 0x7e10[38], 0x5d08[39] | 3879 ETH + 1,825,000 DAI |
| 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d[40] | 875 ETH |
| 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e | 0xf97a[41], 0xbc5c[42] | 2164 ETH |
使用 Metasleuth[43] 构建的详细资金流转移图:
在 Metasleuth 中详细探索整个非法资金流动: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595[44]
Twitter中文:https://x.com/MSCommunity_CN
Twitter英文:https://x.com/MetaSleuth
References
[1] vault: https://etherscan.io/address/0x2129f8a9b6c3092a600da82ce859b7a9a69983e4[2] 0xf2b8: https://etherscan.io/address/0xf2b889437f243396b29e829908b5d8ebe2e13048[3] Gemini: https://www.gemini.com/apac/hong-kong[4] 钓鱼交易: https://etherscan.io/tx/0xb721c8d603d5cbac826d804b04fb4662952afe91af15cf2aa603d002d3410b87[5] 交易: https://app.blocksec.com/explorer/tx/eth/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4[6] 0x0000db5c8b030ae20308ac975898e09741e70000: https://etherscan.io/address/0x0000db5c8b030ae20308ac975898e09741e70000[7] 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4: https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4[8] 0x2805: https://etherscan.io/tx/0x28054acca764c58157e1e5779e5e6d1c9c858a7508b189655d370a82e2a0e07b[9] 0xb721: https://etherscan.io/tx/0xb721c8d603d5cbac826d804b04fb4662952afe91af15cf2aa603d002d3410b87[10] 0xf700: https://etherscan.io/tx/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4[11] 原所有者: https://etherscan.io/address/0xf2b889437f243396b29e829908b5d8ebe2e13048[12] 地址: https://etherscan.io/address/0x0000db5c8b030ae20308ac975898e09741e70000[13] 地址: https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4[14] 交易: https://etherscan.io/tx/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4[15] 0x5D4b: https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4[16] 0x5D4b: https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4[17] 0x8cc5: https://etherscan.io/address/0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc[18] CoW Protocol: GPv2Settlement: https://etherscan.io/address/0x9008d19f58aabd9ed0d60971565aa8510560ab41[19] 0x7c63: https://etherscan.io/tx/0x7c6305d30fbc9f9a94749750967ac54d7fced0d3bea5ea4d370d92514ed07802[20] eXch: https://etherscan.io/address/0xf1da173228fcf015f43f3ea15abbb51f0d8f1123[21] KuCoin: https://etherscan.io/address/0x45300136662dd4e58fc0df61e6290dffd992b785[22] ChangeNOW: https://etherscan.io/address/0x077d360f11d220e4d5d831430c81c26c9be7c4a4[23] THORChain: https://etherscan.io/address/0xd37bbe5744d730a1d98d8dc97c42f0ca46ad7146[24] Hop Protocol: https://etherscan.io/address/0xb8901acb165ed027e32754e0ffe830802919727f[25] 0x2e42: https://etherscan.io/tx/0x2e42521b5142068b650c93d9ac798cad0fffff5ae35662f77190a4c42807fa9b[26] 0xa982: https://etherscan.io/tx/0xa98216405a9e42511523aa89047ea917f0098fc15c3d1162d0d4994ff02795a1[27] 0x1e1e: https://etherscan.io/tx/0x1e1e72d2b3bcab3138a098eaee5a4e942b3f44b4dd911b1a975f3b2f3a320b84[28] 0xb7a9: https://etherscan.io/tx/0xb7a94448befb8f3ced5164c27395f071b2ad23d32847990d7b70323601ed4398[29] 0x5c06: https://etherscan.io/tx/0x5c060ac781d4d9b22098282109e03af942b69c86ef10f2be21a736ab8d9772c0[30] 0xf824: https://etherscan.io/tx/0xf824553170776aa3f877047e72b3badb27763127ff6f2b54006eac01ec2b815f[31] 0x391e: https://etherscan.io/tx/0x391ed30bb238483c47a80ddf78d41a3eabb1ae9c1d90386aa57bd85ee6982a3f[32] KuCoin 17: https://etherscan.io/address/0x45300136662dd4e58fc0df61e6290dffd992b785[33] 0x860c: https://etherscan.io/address/0x860cf33bdc076f42edbc66c6fec30aa9ee99f073[34] 0xa11e: https://etherscan.io/tx/0xa11ebe4db723c16b275efd2cbb2d07f53c3d1931f3220d0cb8835ef869aa9ee0[35] 0x9ef1: https://etherscan.io/tx/0x9ef1b32d09461d83882c6acf4d8b710af00287ff4d079cafa913a62aac55982c[36] 0x7af2: https://etherscan.io/tx/0x7af275b3242b57a50a2ece06b9114ab4497e08b927cce50c51417c7f702e9abb[37] 0x1d45: https://etherscan.io/tx/0x1d4532bec533c0639c0f93a9cbf95a8a86e51d9f172c7fa911e83e88f9ab8078[38] 0x7e10: https://etherscan.io/tx/0x7e101dc35d6acf5068551bef00b08ff666773af3b14b46a85e4d41602718d05b[39] 0x5d08: https://etherscan.io/tx/0x5d0813cf16dfedcd9b1acfc0c7e4faad2607b47e293ec8c65725fcead2f5213f[40] 0xee0d: https://etherscan.io/tx/0xee0d2daaf6d79721f34ff3b2e8bdeb1fa61e10ef9a15570fa0cfa6f65fc85252[41] 0xf97a: https://etherscan.io/tx/0xf97a281f71a89503f031ffab006456dbd880932bfa8e20ba39784e1f98ffa17a[42] 0xbc5c: https://etherscan.io/tx/0xbc5cb9114852ca36f0c4f0dc437779d2d34b17fa4d698ccb9bc581d78475f851[43] Metasleuth: https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554[44]: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595。
原文始发于微信公众号(BlockSec):非法资金流动案例分析:$55M DAI 钓鱼事件
