Tato série je případovou studií vyšetřovací služby MistTrack.

Přehled

Hackeři zaútočili na projekt a převedli všechny ukradené prostředky na TornadoCash, čímž vyzvali účastníka projektu, aby požádal o pomoc od MistTrack. Adresu výběru nastavenou jsme objevili provedením analýzy transakcí TornadoCash a demixováním prostředků od ostatních uživatelů. Po několika dnech čekání byla část ukradených finančních prostředků nakonec převedena na burzu. Na adresu hackera pro výběr jsme odeslali on-chain zprávu s žádostí o vrácení odcizených finančních prostředků nebo čelíme právním krokům. Ukradené prostředky byly týmu vráceny do devíti hodin.

MistTrack hrál v Případu 01 zásadní roli, když se řídil následujícími kroky:

1. Vytvořte důvěru mezi stranami

2. Sledování odcizených finančních prostředků

3. Analýza profilu hackerů

4. Analýza výběrů TornadoCash

5. Monitorování výběrů TornadoCash

6. On-chain komunikace

7. Zapojení donucovacích orgánů a podpora v případě potřeby

Sledování odcizených finančních prostředků

Po obdržení žádosti týmu o pomoc jsme okamžitě zahájili vyšetřování a analýzu tohoto incidentu.

Během naší analýzy jsme dospěli k závěru, že všechny ukradené prostředky byly převedeny na TornadoCash.

Analýza profilu hackerů

Analýza profilu hackerů MistTrack na základě těchto klíčových bodů.

  • Zdroj poplatku za plyn

  • Použité nástroje

  • Operační časová osa

  • Hackerský profil

  • Analýza před útokem

Počáteční financování tohoto útoku pocházelo z TornadoCash, jak můžete vidět níže.

Aby se zabránilo odhalení, odcizené finanční prostředky jsou často vyměňovány, přemosťovány nebo dokonce pereny pomocí sofistikovaných technik. To lze provést pomocí různých nástrojů, jako je xxSwap atd., než je uloženo do TornadoCash.

Analýza výběrů TornadoCash

Na základě výše uvedených informací je Klíčem, který případ 01 dokázal vyřešit, analýza výběru TornadoCash.

Níže uvedený nástroj se používá v procesu analýzy stažení. Pomohlo to při třídění adres pro výběr TornadoCash, které splňují kritéria filtrování.

Po získání seznamu adres pro odběr jsme klasifikovali adresy pro odběr podle následujících charakteristik:

  • Aktivní období

  • Rozdělení cen plynu

  • Interakce s podobnými platformami

  • Vzory adres pro výběr

  • Rozdělení částky výběru

V jedné z našich klasifikací jsme zjistili, že sdílí podobné vlastnosti:

  • Používané podobné platformy — xxSwap

  • Stejné aktivní období jako adresy hackerů

  • V souladu s částkou, kterou hackeři vložili do TornadoCash

Ještě důležitější je, že jedna z adres pro výběr byla spojena s adresou původního hackera. To nám dává důkaz, že tyto adresy souvisely s hackerem.

Sledování výběrů TornadoCash

Okamžitě jsme informovali zúčastněné strany o všech příslušných adresách pro výběr TornadoCash a použili jsme náš monitorovací systém MistTrack AML, aby nás upozornil na jakoukoli další aktivitu.

Komunikace v řetězci

Po několika dnech sledování jsme obdrželi upozornění, které nás informovalo, že hackeři odeslali část ukradených finančních prostředků na burzu poté, co je převedli do různých peněženek. Okamžitě jsme kontaktovali oběť, abychom probrali nejlepší postup. Doporučujeme týmu, aby se obrátil na orgány činné v trestním řízení se žádostí o podporu a pomohl projektu odeslat hackerovi zprávu v řetězci. Zpráva: „Vraťte ukradené prostředky do 48 hodin a ponechte si část jako odměnu za chyby, nebo budeme pokračovat ve vyšetřování a podnikneme právní kroky s pomocí orgánů činných v trestním řízení.“ V průběhu celého procesu jsme poskytovali orgánům činným v trestním řízení důkazy a průběžně monitorovali všechny zúčastněné adresy.

Výsledek

Do 9 hodin od odeslání zprávy v řetězci hackerovi byla většina ukradených prostředků týmu vrácena.