Seri ini adalah studi kasus layanan investigasi MistTrack.
Ringkasan
Peretas menyerang sebuah proyek dan mentransfer semua dana yang dicuri ke TornadoCash, mendorong pihak proyek untuk mencari bantuan dari MistTrack. Kami menemukan alamat penarikan yang ditetapkan dengan melakukan analisis transaksi TornadoCash dan menghapus dana dari pengguna lain. Setelah beberapa hari menunggu, sebagian dana curian akhirnya ditransfer ke bursa. Kami mengirimkan pesan on-chain ke alamat penarikan peretas, meminta pengembalian dana yang dicuri atau menghadapi tuntutan hukum. Dana yang dicuri dikembalikan ke tim dalam waktu sembilan jam.
MistTrack memainkan peran penting dalam Kasus 01 dengan mengikuti langkah-langkah berikut:
1. Menjalin Kepercayaan Antar Pihak
2. Pelacakan Dana yang Dicuri
3. Analisis Profil Peretas
4. Analisis Penarikan TornadoCash
5. Pemantauan Penarikan TornadoCash
6. Komunikasi Rantai
7. Keterlibatan dan dukungan lembaga penegak hukum bila diperlukan
Pelacakan Dana yang Dicuri
Setelah menerima permintaan bantuan dari tim, kami segera memulai investigasi dan analisis atas insiden ini.
Selama analisis kami, kami menyimpulkan bahwa semua dana yang dicuri telah ditransfer ke TornadoCash.
Analisis Profil Peretas
Analisis MistTrack terhadap profil peretas berdasarkan poin-poin penting ini.
Sumber biaya gas
Alat yang digunakan
Garis waktu operasional
Profil peretas
Analisis pra-serangan
…
Pendanaan awal dari serangan ini berasal dari TornadoCash, seperti yang Anda lihat di bawah.
Untuk menghindari deteksi, dana curian sering kali ditukar, dijembatani, atau bahkan dicuci menggunakan teknik canggih. Hal ini dapat dilakukan dengan berbagai alat, seperti xxSwap, dll., sebelum disimpan ke TornadoCash.
Analisis Penarikan TornadoCash
Berdasarkan informasi yang diberikan di atas, Analisis Penarikan TornadoCash adalah kunci yang dapat dipecahkan oleh Kasus 01.
Alat yang digambarkan di bawah ini digunakan dalam proses analisis penarikan. Ini membantu dalam menyortir alamat penarikan TornadoCash yang memenuhi kriteria penyaringan.
Setelah mendapatkan daftar alamat penarikan, kami mengklasifikasikan alamat penarikan berdasarkan karakteristik berikut:
Jangka waktu aktif
Distribusi harga gas
Interaksi dengan platform serupa
Pola alamat penarikan
Distribusi jumlah penarikan
Dalam salah satu klasifikasi kami, kami menemukan bahwa ia memiliki karakteristik serupa:
Menggunakan platform serupa — xxSwap
Masa aktif sama dengan alamat hacker
Konsisten dengan jumlah yang disetorkan oleh peretas ke TornadoCash
Lebih penting lagi, salah satu alamat penarikan dikaitkan dengan alamat peretas asli. Dengan demikian memberi kami bukti bahwa alamat-alamat ini terkait dengan peretas.
Pemantauan Penarikan TornadoCash
Kami segera memberi tahu pihak-pihak yang terlibat tentang semua alamat penarikan TornadoCash yang relevan, dan menggunakan sistem pemantauan MistTrack AML kami untuk memperingatkan kami tentang aktivitas lebih lanjut.
Komunikasi On-chain
Setelah beberapa hari pemantauan, kami menerima peringatan yang memberi tahu kami bahwa peretas telah mengirimkan sebagian dana curian ke bursa setelah mentransfernya ke berbagai dompet. Kami segera menghubungi korban untuk mendiskusikan tindakan terbaik. Kami menyarankan tim untuk menghubungi lembaga penegak hukum untuk mendapatkan dukungan dan membantu proyek dalam mengirimkan pesan on-chain ke peretas. Pesan: “Kembalikan dana yang dicuri dalam waktu 48 jam dan simpan sebagian sebagai bug bounty, atau kami akan melanjutkan penyelidikan dan mengambil tindakan hukum dengan bantuan penegak hukum.” Sepanjang seluruh proses, kami memberikan bukti kepada penegak hukum dan terus memantau semua alamat yang terlibat.
Hasil
Dalam waktu 9 jam setelah mengirim pesan on-chain kepada peretas, sebagian besar dana tim yang dicuri telah dikembalikan.
