このシリーズは、MistTrack 調査サービスのケーススタディです。
概要
ハッカーがプロジェクトを攻撃し、盗まれた資金をすべて TornadoCash に移送したため、プロジェクト関係者は MistTrack に支援を求めるようになりました。私たちは、TornadoCash トランザクションの分析を実行し、他のユーザーからの資金を分離することによって設定された引き出しアドレスを発見しました。数日間待った後、ついに盗まれた資金の一部が取引所に送金されました。私たちはハッカーの出金アドレスにオンチェーンメッセージを送信し、盗まれた資金の返還を要求するか、法的手段に訴えるよう要求しました。盗まれた資金は9時間以内にチームに返還された。
MistTrack は、次の手順を実行して、ケース 01 で重要な役割を果たしました。
1. 当事者間の信頼関係を確立する
2. 盗難資金の追跡
3. ハッカープロファイル分析
4. TornadoCash 引き出し分析
5. TornadoCashの引き出しの監視
6. オンチェーン通信
7. 必要に応じた執行機関の関与と支援
盗難資金の追跡
チームからの支援要請を受けて、私たちはすぐにこの事件の調査と分析を開始しました。
分析の結果、盗まれた資金はすべて TornadoCash に送金されたという結論に達しました。
ハッカープロファイル分析
MistTrack は、これらの重要なポイントに基づいてハッカーのプロファイルを分析しました。
ガス料金の源泉
使用されるツール
運用タイムライン
ハッカープロフィール
攻撃前の分析
…
以下に示すように、この攻撃による最初の資金は TornadoCash から提供されました。
検出を回避するために、盗まれた資金は高度な技術を使用して頻繁にスワップ、ブリッジ、またはロンダリングされます。これは、TornadoCash に預けられる前に、xxSwap などのさまざまなツールを使用して行うことができます。
TornadoCash 引き出し分析
上記の情報に基づくと、TornadoCash 引き出し分析がケース 01 が解決できた鍵となります。
以下に示すツールは、出金分析プロセスで使用されます。このツールは、フィルタリング基準を満たす TornadoCash 出金アドレスの並べ替えに役立ちます。
出金アドレスのリストを入手した後、出金アドレスを以下の特性によって分類しました。
アクティブ期間
ガス価格分布
類似プラットフォームとの相互作用
出金先アドレスパターン
引出金額の分配
私たちの分類の 1 つでは、次のような類似した特徴が共通していることがわかりました。
類似プラットフォームを使用 — xxSwap
ハッカーのアドレスと同じ活動期間
ハッカーがTornadoCashに預けた金額と一致している
さらに重要なのは、出金アドレスの 1 つが元のハッカーのアドレスと関連していたことです。これにより、これらのアドレスがハッカーに関連していたことが証明されました。
TornadoCash の引き出しの監視
当社は、関係するすべての TornadoCash 出金アドレスを関係者に直ちに通知し、MistTrack AML 監視システムを使用して、さらなる活動があれば警告しました。
オンチェーン通信
数日間の監視の後、ハッカーが盗んだ資金の一部をさまざまなウォレットに転送した後、取引所に送ったという警告を受け取りました。私たちはすぐに被害者に連絡を取り、最善の行動方針について話し合いました。私たちはチームに、法執行機関に連絡して支援を求め、プロジェクトがハッカーにオンチェーンメッセージを送信するのを支援するようアドバイスしました。メッセージ: 「盗まれた資金を48時間以内に返金し、一部をバグ報奨金として保持してください。そうでない場合は、調査を継続し、法執行機関の支援を受けて法的措置を講じます。」プロセス全体を通じて、法執行機関に証拠を提供し、関係するすべてのアドレスを継続的に監視しました。
結果
ハッカーにオンチェーンメッセージを送信してから9時間以内に、チームの盗まれた資金の大部分が返還されました。
