Ten cykl to studium przypadku usługi śledczej MistTrack.

Przegląd

Hakerzy zaatakowali projekt i przenieśli wszystkie skradzione fundusze do TornadoCash, co skłoniło stronę projektową do szukania pomocy od MistTrack. Odkryliśmy zestaw adresów wypłat, przeprowadzając analizę transakcji TornadoCash i demiksując fundusze z innych użytkowników. Po kilku dniach oczekiwania, część skradzionych funduszy ostatecznie została przelana na giełdę. Wysłaliśmy wiadomość on-chain do adresu wypłaty hakera, prosząc o zwrot skradzionych funduszy lub podjęcie działań prawnych. Skradzione fundusze zostały zwrócone zespołowi w ciągu dziewięciu godzin.

MistTrack odegrał kluczową rolę w Sprawie 01, wykonując następujące kroki:

1. Ustanowienie zaufania między stronami

2. Śledzenie skradzionych funduszy

3. Analiza profilu hakera

4. Analiza wypłat z TornadoCash

5. Monitorowanie wypłat z TornadoCash

6. Komunikacja on-chain

7. Zaangażowanie i wsparcie organów ścigania, gdy to konieczne

Śledzenie skradzionych funduszy

Po otrzymaniu prośby zespołu o pomoc, natychmiast rozpoczęliśmy dochodzenie i analizę tego incydentu.

Podczas naszej analizy doszliśmy do wniosku, że wszystkie skradzione fundusze zostały przelane do TornadoCash.

Analiza profilu hakera

Analiza profilu hakerów przez MistTrack na podstawie tych kluczowych punktów.

  • Źródło opłat za gaz

  • Używane narzędzia

  • Oś czasu operacyjna

  • Profil hakera

  • Analiza przed atakiem

Początkowe finansowanie z tego ataku pochodziło z TornadoCash, jak można zobaczyć poniżej.

Aby uniknąć wykrycia, skradzione fundusze są często wymieniane, mostkowane lub nawet prane przy użyciu zaawansowanych technik. Można to zrobić za pomocą różnych narzędzi, takich jak xxSwap itd., zanim zostaną wpłacone do TornadoCash.

Analiza wypłat z TornadoCash

Na podstawie powyższych informacji, analiza wypłat z TornadoCash jest kluczem, dzięki któremu Sprawa 01 mogła zostać rozwiązana.

Narzędzie przedstawione poniżej jest używane w procesie analizy wypłat. Pomogło w sortowaniu adresów wypłat TornadoCash, które spełniają kryteria filtracji.

Po uzyskaniu listy adresów wypłat, sklasyfikowaliśmy adresy wypłat według następujących cech:

  • Okres aktywności

  • Rozkład cen gazu

  • Interakcja z podobnymi platformami

  • Wzorce adresów wypłat

  • Rozkład kwot wypłat

W jednej z naszych klasyfikacji stwierdziliśmy, że dzieli podobne cechy:

  • Używane podobne platformy — xxSwap

  • Ten sam okres aktywności co adresy hakerów

  • Zgodne z kwotą wpłaconą przez hakerów do TornadoCash

Co ważniejsze, jeden z adresów wypłat był związany z oryginalnym adresem hakera. To dało nam dowód, że te adresy były powiązane z hakerem.

Monitorowanie wypłat z TornadoCash

Natychmiast powiadomiliśmy zaangażowane strony o wszystkich istotnych adresach wypłat z TornadoCash i użyliśmy naszego systemu monitorowania AML MistTrack, aby ostrzec nas o wszelkiej dalszej aktywności.

Komunikacja on-chain

Po kilku dniach monitorowania otrzymaliśmy powiadomienie informujące nas, że hakerzy przesłali część skradzionych funduszy na giełdę po przelaniu ich do różnych portfeli. Natychmiast skontaktowaliśmy się z ofiarą, aby omówić najlepszy sposób działania. Doradziliśmy zespołowi, aby skontaktował się z organami ścigania w celu uzyskania wsparcia i pomógł projektowi w wysłaniu wiadomości on-chain do hakera. Wiadomość: „Zwróć skradzione fundusze w ciągu 48 godzin i zatrzymaj część jako nagrodę za błąd, lub będziemy kontynuować nasze śledztwo i podejmiemy działania prawne z pomocą organów ścigania.” Przez cały czas dostarczaliśmy organom ścigania dowody i ciągle monitorowaliśmy wszystkie zaangażowane adresy.

Wynik

W ciągu 9 godzin od wysłania hakerowi wiadomości on-chain, większość skradzionych funduszy zespołu została zwrócona.