本篇主要集中解读 Ronin Network 安全事件反分析及工具方法介绍。
事件背景
工具及方法
在正式开始反分析之前,先介绍一个高效的工具和一套有效应对复杂情况的分析方法。
(MistTrack 反追踪系统示例图)
MistTrack 反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的 SaaS 系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。
AML Risk Score
MistTrack 反追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体(如混币平台)或地址与已知的风险主体存在资金来往时,系统会将该地址标记为风险地址。同时,结合慢雾恶意钱包地址库中的恶意地址数据集,对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。
solana网络发布关于6月2日网络中断的问题报告:金色财经报道,Solana 官方发布主网 Beta 中断报告,称一个由持久 nonce 交易特性触发的运行错误,在特定的环境下,允许一个失败的持久 nonce 交易被处理了两次,这导致当验证节点第二次处理交易时,一些节点拒绝了后续的区块,而其他节点接受了它。关键的是,超过 33% 的验证者接受了这个区块,但这个数字没有达到调和不确定性所需的 66 %。
目前在 v1.9.28/v1.10.23 版本中已禁用了持久随机数交易功能,以防止网络在再次出现相同情况时停止,且在实施缓解措施并在即将发布的版本中重新激活该功能之前,将不会处理持久随机数交易。
此前报道,Solana 主网 Beta 于 6 月 2 日凌晨暂停出块,中断超 4 小时。[2022/6/5 4:03:39]
Address Labels
MistTrack 反追踪系统积累了超 2 亿个钱包地址标签,地址标签主要包含 3 个分类:
(1)它归属于什么实体,如 Coinbase、Binance
报告:如果能解决挖矿的ESG问题,27%的受访投资者将首次投资比特币:7月23日消息,在一份报告中,Nickel Digital Asset Management表示,如果有基金和投资工具解决围绕挖矿业的ESG(环境、社会及管治)问题,27%的受访财富管理公司和机构投资者将首次投资比特币,而64%的人表示,他们将在同样的情况下增加配置。在大多数情况下,比特币和其他数字货币的机构投资者目前只有“非常低的风险敞口”,而且许多人“只是在测试市场”。(proactive)[2021/7/23 1:12:00]
(2)它的链上行为特征,如 DeFi 鲸鱼、MEV Bot 以及 ENS
(3)一些链下情报数据,如曾使用过 imToken/MetaMask 钱包
Investigations
追踪和识别钱包地址上的加密资产流向,实时监控资金转移,将链上和链下信息整合到一个面板中,为司法取证提供强有力的技术支持。
报告:俄罗斯或将使用匿名钱包合法化,但不包括加密货币:12月16日消息,俄罗斯国家杜马金融市场委员会主席Anatoly Aksakov与来自不同派别的代表小组一起提交了一份新法案。该法案建议“使用匿名钱包在个人之间进行资金转移”合法化。该法律仅适用于电子支付服务。RBC报告称,该计划不适用于加密货币,因为它不被认为是一种支付手段。(atozmarkets)[2020/12/16 15:23:54]
(MistTrack 追踪分析示例图)
通过标记 1 千多个地址实体、2 亿多个地址标签,10 万多个威胁情报地址,以及超过 9000 万个与恶意活动相关的地址,MistTrack 为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack 在反分析评估工作中起到至关重要的作用。
MistTrack 可以满足常见的反分析场景,而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反资金态势中我们可以看到很多被黑事件发生后,在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash,Tornado.Cash 已成为 ETH/BSC 链上反的主战场。
分析 | 报告:虽行情低迷 但资本趋于理性、基础技术得到重视:2月25日,零壹财经&Binary与数字资产研究院联合发布《2018年区块链产业发展报告》。报告显示,中国对“Blockchain”关注度在全球排名第二,仅次于地中海岛国马耳他。行情方面,“战火”连天,共识坍塌。市值排名前十币种除USDT外普遍下跌,最高下跌93.24%;加密货币整体低迷,稳定币逆市增长37%;BTC算力增长幅度超190%,挖矿难度增长超170%;五大币种交易费下降超80%,BSV交易费上涨约123%;五大币种活跃地址数普遍下降,BCH下降超90%。资本市场方面,预期降低,回归理性。2018年区块链项目总融资416亿;ICO融资167.18亿,占84.24%,VC融资31.28亿,占比15.76%;624家机构参与了452项区块链项目股权投资。监管方面,打击乱象,趋于合规。各国就数字货币监管尚未达成共识;将美元作为本国法定货币,或受到美国经济制裁的国家,更有动机发行法定数字货币。行业出现微光:排除泡沫,重视技术。比特币隔离见证技术应用比例从10%激增至40%;闪电网络发展迅猛,容量超过500BTC;国内34家银行已开展近140项区块链相关业务或探索实践;大公司纷纷推出区块链相关平台或投身区块链项目探索。[2019/2/25]
新的手法需要新的分析方法,对 Tornado.Cash 转出分析的需求变得越来越普遍,此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法:
报告称LTC是黑暗市场第二受欢迎的加密货币:最近的一项研究显示莱特币是黑暗市场中第二大被使用的支付手段。该研究还表明,在讲英语的平台中采用Monero的数量显着增加。这项由Recorded Future开展的研究涉及对150家领先的黑暗网络“留言板,市场和非法服务”的分析,以确定犯罪实体为应对不断上涨的比特币费用而采用的替代性加密货币的规模。这项研究显示莱特币是黑暗市场中第二大支付货币 ,30%的平台上实施LTC支付系统。[2018/2/15]
记录目前已知的信息,已知信息包括转入 Tornado.Cash 总数,第一笔 Tornado.Cash 存款时间,第一笔 Tornado.Cash 存款的区块高度。
将参数填入我们准备的分析面板(https://dune.com/awesome/Tornado-withdraw-analysis)。
得到初步的 Tornado.Cash 提款数据结果,再使用特征分类的方式对数据结果做进一步筛选。
筛选后的结果是一批疑似黑客转出的结果集,取概率最高的结果集并对它进行验证。
Tornado.Cash 转出分析结论。
(Dune Dashboard - Tornado.Cash 转出分析)
通过这个 Tornado.Cash 资金转出的分析方法,我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。
显而易见,这个 Tornado.Cash 资金转出的分析方法同样存在局限性:
转入 Tornado.Cash 的数量分类也是一个匿名集,资金量越大相应的匿名集数量越少,资金量越小则相反。所以对于资金量小的分析难度更大。
而在 BTC 链上,通过区块链反资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用平台。Blender 目前已被美国财政部制裁,站点已不可用,这里不再做进一步的探讨。
ChipMixer 流入资金量巨大,我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。
识别 ChipMixer 的提款特征。
输入地址类型
输出地址类型
输入数额特征
版本
锁定时间
bech32(bc1q...)
所有的输入数额都满足 Chips(即 0.001 ?* 2 的 n 次方,n < 14)的要求
区块高度 - 1/区块高度 - 2/区块高度 - ?3
根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选,得到这个时间段内 ChipMixer 的提款记录。
对提款记录数据归类结果集,取概率最高的结果集并对它进行验证。
ChipMixer 转出分析结论。
反分析详述
根据上述方法,针对 Ronin Network 安全事件做出以下分析:
黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96(ETH 链)
攻击手续费来源:SimpleSwap
资金转移:
(Ronin Bridge Exploiter 资金转移时间线)
ETH 资金转移:
黑客获利资金流向主体详情如下表:
注:其他未做统计的流向资金为洗币过程损失。
Tornado.Cash 资金转移:
注:数据有效时间截止于 7 月 20 日。
BTC 资金转移:
注:0.1 BTC 以下转移额不做统计。
ChipMixer 资金转移:
注:0.1 BTC 以下转移额不做统计。
总结
以上便是关于 Ronin Network 安全事件反分析以及工具方法介绍的全部内容,至此,关于?2022?上半年区块链安全及反分析报告的四篇完整解读已全部完成,可以直接点击顶部专题合集#区块链安全与反报告浏览查看。
完整报告下载:
https://www.slowmist.com/report/first-half-of-the-2022-report.pdf
慢雾科技
个人专栏
阅读更多
金色早8点
Bress
PANews
链捕手
财经法学
成都链安
Odaily星球日报
区块律动BlockBeats
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。