Esta série é um estudo de caso do serviço de investigação MistTrack .
Visão geral
Os hackers atacaram um projeto e transferiram todos os fundos roubados para o TornadoCash, fazendo com que a parte do projeto buscasse a assistência do MistTrack. Descobrimos o endereço de retirada definido realizando uma análise das transações do TornadoCash e separando os fundos de outros usuários. Após alguns dias de espera, alguns dos fundos roubados foram finalmente transferidos para uma bolsa. Enviamos uma mensagem na rede para o endereço de retirada do hacker, solicitando a devolução dos fundos roubados ou enfrentando ações legais. Os fundos roubados foram devolvidos à equipe em nove horas.
A MistTrack desempenhou um papel vital no Caso 01 ao seguir os seguintes passos:
1. Estabelecer confiança entre as partes
2. Rastreamento de fundos roubados
3. Análise de perfil de hacker
4. Análise de retirada do TornadoCash
5. Monitoramento de retiradas do TornadoCash
6. Comunicação na cadeia
7. Envolvimento e apoio da agência de execução quando necessário
Rastreamento de fundos roubados
Após receber a solicitação de assistência da equipe, iniciamos imediatamente uma investigação e análise deste incidente.
Durante nossa análise, concluímos que todos os fundos roubados foram transferidos para o TornadoCash.
Análise de perfil de hacker
Análise do perfil dos hackers feita pela MistTrack com base nesses pontos-chave.
Fonte de taxa de gás
Ferramentas utilizadas
Cronograma operacional
Perfil do hacker
Análise pré-ataque
…
O financiamento inicial deste ataque veio do TornadoCash, como você pode ver abaixo.
Para evitar a detecção, fundos roubados são frequentemente trocados, interligados ou até mesmo lavados usando técnicas sofisticadas. Isso pode ser feito com uma variedade de ferramentas, como xxSwap, etc., antes de ser depositado no TornadoCash.
Análise de retirada do TornadoCash
Com base nas informações fornecidas acima, a Análise de Saque do TornadoCash é a chave que o Caso 01 conseguiu resolver.
A ferramenta descrita abaixo é usada no processo de análise de retirada. Ela auxiliou na classificação de endereços de retirada do TornadoCash que atendem aos critérios de filtragem.
Após obter a lista de endereços de retirada, classificamos os endereços de retirada pelas seguintes características:
Período de tempo ativo
Distribuição do preço do gás
Interação com plataformas semelhantes
Padrões de endereço de retirada
Distribuição do valor de retirada
Em uma de nossas classificações, descobrimos que ele compartilhava características semelhantes:
Plataformas semelhantes usadas — xxSwap
Mesmo período ativo que o hacker aborda
Consistente com o valor depositado pelos hackers no TornadoCash
Mais importante, um dos endereços de retirada estava associado ao endereço original do hacker. Isso nos dá provas de que esses endereços estavam relacionados ao hacker.
Monitoramento de saques do TornadoCash
Notificamos imediatamente as partes envolvidas sobre todos os endereços de retirada relevantes do TornadoCash e usamos nosso sistema de monitoramento AML MistTrack para nos alertar sobre qualquer atividade futura.
Comunicação On-chain
Após alguns dias de monitoramento, recebemos um alerta nos informando que os hackers enviaram uma parte dos fundos roubados para uma exchange após transferi-los para várias carteiras. Entramos em contato imediatamente com a vítima para discutir o melhor curso de ação. Aconselhamos a equipe a entrar em contato com as agências de segurança pública para obter suporte e auxiliar o projeto no envio de uma mensagem on-chain para o hacker. Mensagem: "Reembolse os fundos roubados em 48 horas e retenha uma parte como recompensa por bugs, ou continuaremos nossa investigação e tomaremos medidas legais com a assistência das autoridades". Durante todo o processo, fornecemos evidências às autoridades e monitoramos continuamente todos os endereços envolvidos.
Resultado
Nove horas após o envio de uma mensagem on-chain ao hacker, a maioria dos fundos roubados da equipe foram devolvidos.
