By: Zero
本系列为 MistTrack 追踪分析案例分享。
概览
某项目被黑,被盗资金被黑客全部转移到 TornadoCash,项目方找到 MistTrack (https://misttrack.io/) 进行协助。MistTrack 针对 TornadoCash 做提款分析,协助项目方重新捕获被 TornadoCash 混淆后的被盗资金。几天后,等待黑客开始将资金转移到某交易所后,MistTrack 在建议项目方联系执法机构的同时,向黑客 TornadoCash 提款地址发送链上消息。最终在项目方发送链上消息 9 小时后,黑客将大部分被盗资金退还到项目方地址。
MistTrack 主要通过以下步骤起到关键性推进作用:
1. 和项目方相互的信任感;
2. 被盗资金追踪;
3. 黑客痕迹分析;
4. TornadoCash 提款分析;
5. 被盗资金监控;
6. 与黑客展开链上沟通博弈;
7. 必要情况下执法机构的介入支持。
下文将对案例一的 MistTrack 分析过程做详细阐述。
被盗资金追踪
收到项目方的协助请求后,MistTrack 立即开展了调查分析工作 。
在被盗资金追踪过程中,我们得出结论:被盗资金全部转入 Tornado.Cash。
被盗资金追踪
接着,MistTrack 按照调查工作流,对黑客地址进一步开展分析。
-
手续费溯源
-
使用工具
-
黑客操作时间线
-
黑客画像
-
攻击前痕迹
-
…
黑客手续费来源是 TornadoCash,这里也可以向上进行溯源分析,在此处不做进一步展开。
在资金兑换、跨链和洗钱的过程中,黑客使用到多种工具,例如 xxSwap 等,这将给后续 TornadoCash 提款分析埋下伏笔。
TornadoCash 提款分析
根据上述初步情况,MistTrack 评估案例一的突破点在 TornadoCash 提款部分,于是就此点展开深入分析。
下图是提款分析过程中使用的工具 (https://dune.com/awesome/Tornado-withdraw-analysis),用于过滤符合筛选特征的 TornadoCash 提款地址。
获取到提款地址列表后,通过以下指标对提款地址进行分类:
-
发送存款/取款当天的时间
-
Gas 价格分布
-
与相同的服务进行交互
-
提款地址行为
-
提款数额分布
在其中一个提款地址分类中,我们发现了它命中了以下特征:
-
同样使用了上文的 xxSwap
-
与黑客地址的常用操作时间重合
-
与黑客存款到 TornadoCash 的数量一致
更为重要的是,其中一个提款地址还发现了与原黑客地址相关联的痕迹。于是我们便分析出了 TornadoCash 提款地址列表。
被盗资金监控
MistTrack 分析出黑客的 TornadoCash 提款地址列表后立即同步给了项目方,并使用 MistTrack 监控模块对 TornadoCash 提款地址进行监控。项目方对 MistTrack 的推进成果表示出极大的认可。
链上沟通博弈
在监控后的几天后,MistTrack 和项目方都收到了黑客经过多层转移后转移到某交易所的邮件。MistTrack 迅速与项目方进行语音会议探讨方案。在语音会议上,MistTrack 建议项目方积极的联系执法机构获取相关支持,并引导项目方向转移到交易所的黑客地址发送链上消息:“呼吁黑客在 48 小时内退款,并保留部分资金作为漏洞赏金,否则将继续推进调查并寻求执法帮助”。MistTrack 在积极筹备跟进执法流程的同时,也继续监控着黑客地址的异动。
结果
最终在项目方发送链上消息 9 小时后,黑客将大部分被盗资金退还到项目方地址。
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF
原文始发于微信公众号(慢雾科技):MistTrack 案例一 | TornadoCash 提款分析
