黑客洗钱套路——一场涉及至少6000万美元的钱包被盗案

此前，一场涉及几千万美元的钱包被盗案件震惊了整个行业。

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Atomic Wallet于今年6月初遭攻击，据Beosin团队统计，综合链上已知的受害人报案信息，此次攻击造成的损失至少约6000万美元。

据 CoinDesk 报道，Atomic 钱包首席执行官Konstantin Gladych 表示，团队现在正在收集受影响用户的数据，并表示「这次攻击绝对是由一支专业黑客团队组织的，他们正在使用脚本、资金拆分、混币器等手段」。

在这篇文章中，我们将深入探讨这起黑客盗窃案的资金清洗细节，并使用Beosin KYT虚拟资产反洗钱合规和分析平台，对黑客的洗钱套路进行追踪和分析。

事件综述

根据Beosin团队分析，此次被盗事件截止目前涉及的链包括BTC、ETH、TRX在内总共21条链。被盗资金主要集中在以太坊链。其中：

以太坊链

已查出被盗资金为16262个ETH价值的虚拟货币，约3000万美元。

波场链

波场链已知被盗资金为251335387.3208个TRX价值的虚拟货币，约1700万美元。

BTC链

BTC链已知被盗资金为420.882个BTC价值的虚拟货币，折合1260万美元。

BSC链

BSC链已知被盗资金为40.206266个BNB价值的虚拟货币。

其余链

XRP：1676015个XRP，约84万美元

LTC：2839.873689个LTC，约22万美元

DOGE：800575.67369797个DOGE，约5万美元

以太坊

在黑客对赃款的操作中，以太坊被攻击链路上有两种主要的方式：

1、通过合约进行发散后利用Avalanche跨链洗钱

根据Beosin团队分析，黑客会首先将钱包中有价值的币统一换成公链的主币，再通过两个合约来进行汇集。

该合约地址会通过两层中转将ETH打包成WETH，再将WETH转入用于将ETH发散的合约，通过最高5层中转转入Avalanche 用于Cross Bridge的钱包地址中进行跨链操作，该跨链不使用合约进行，属于Avalanche的内部记账式交易类型。

以太坊链路简图如下：

汇聚合约1：

0xe07e2153542eb4b768b4d73081143c90d25f1d58

涉案共计3357.0201个ETH

换成WETH后转入合约0x3c3ed2597b140f31241281523952e936037cbed3

销赃路线详细图如下所示：

汇聚合约2：

0x7417b428f597648d1472945ff434c395cca73245

涉案共计3009.8874个ETH

黑客换成WETH后转入合约0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

销赃路线详细图如下所示：

两个汇聚合约通过同意手续费来源确认，部分没有交易行为地址隐藏。手续费路径如下：

目前只发现这四个有汇集赃款行为的合约。

2、不通过合约直接发散并通过各种跨链桥协议以及交易所洗钱

这一部分目前统计涉案金额为9896 ETH，这一部分会通过多个归集地址进行归集。资金链路图如下所示：

Beosin KYT展示的ETH非合约转账资金图

波场链

波场链和以太坊链类似，通过两层地址将被盗钱包虚拟货币全部转为公链本币TRX，再向后中转。不同的是，汇集地址不再使用合约而是普通地址进行，经过分散后转入各种交易所充币地址。一部分被盗资金留在链上未转移，沉淀地址很多。

可以看到黑客洗钱渠道多，主要通过各类交易所账户进行洗钱，同时也有直接流入跨链桥合约的情况。

汇集地址主要为以下两个地址

TCSEiuNnYHJ3E1LPxAFdDd1xERWUPeUeEC

涉及流水：157,401,175.7231 TRX

TL4w1Xo6PBfa41StEgpNAZWtS65HRPgrHS

涉及流水：93,934,211.5977 TRX

路线模式见下图：

Beosin KYT展示的波场链资金流转示例图

BTC链

BTC已知归集地址涉案资金为420.882个BTC。

BTC链涉案地址分多个汇聚地址，汇聚地址后续无资金交叉，存在大量沉淀地址。

与其他链类似，被盗钱包资金会直接转入黑客地址，再由黑客控制经一层中转转入汇聚地址并在之后进行发散。发散层数至少4层，之后会进行沉淀或混入更大流水的疑似洗钱地址。

路线模式见下图：

Beosin KYT展示的BTC资金流转示例图

BSC链

BSC链只有一个地址，目前资金在链上沉淀。

另外35个BNB来自被盗钱包USDT兑币。

其余链地址

XRP：1676015个XRP，折合838,007美元

LTC：2839.873689个LTC，折合217,789美元

DOGE：800575.67369797个DOGE，折合51,194美元

上述链路模式和其他链类似，均为从钱包盗取币之后换成本币再通过一层中转进入不同的归集地址，且链上仍沉淀的地址较多。

关于本次事件的相关进展，据路透社6月中旬报道，爱沙尼亚警方表示正在调查该国 Atomic Wallet 用户加密货币被盗案件。爱沙尼亚当局表示，上周以来一直在调查这起盗窃案，调查仍处于早期阶段，且目前不会对攻击的源头发表评论。

由上述事件可以看到，近年来，网络犯罪、洗钱、暗网交易等涉及虚拟资产的犯罪屡见不鲜，区块链的去中心化、开放性、匿名性等特征给监管部门带来了巨大的挑战。