Această serie este un studiu de caz al serviciului de investigare MistTrack.
Prezentare generală
Hackerii au atacat un proiect și au transferat toate fondurile furate către TornadoCash, determinând partea din proiect să solicite asistență de la MistTrack. Am descoperit adresa de retragere stabilită prin efectuarea unei analize a tranzacțiilor TornadoCash și prin demixarea fondurilor de la alți utilizatori. După câteva zile de așteptare, o parte din fondurile furate au fost în cele din urmă transferate la un schimb. Am trimis un mesaj în lanț la adresa de retragere a hackerului, solicitând returnarea fondurilor furate sau confruntând cu acțiuni legale. Fondurile furate au fost returnate echipei în termen de nouă ore.
MistTrack a jucat un rol vital în cazul 01, urmând următorii pași:
1. Stabiliți încredere între părți
2. Urmărirea fondurilor furate
3. Analiza profilului hackerilor
4. Analiza retragerii TornadoCash
5. Monitorizarea retragerilor TornadoCash
6. Comunicare în lanț
7. Implicarea și sprijinul agenției de aplicare atunci când este necesar
Urmărirea fondurilor furate
După ce am primit solicitarea de asistență a echipei, am început imediat o investigație și o analiză a acestui incident.
În timpul analizei noastre, am ajuns la concluzia că toate fondurile furate au fost transferate către TornadoCash.
Analiza profilului hackerilor
Analiza MistTrack a profilului hackerilor pe baza acestor puncte cheie.
Sursa de gaz
Instrumente folosite
Cronologie operațională
Profil de hacker
Analiza pre-atac
…
Finanțarea inițială din acest atac a provenit de la TornadoCash, după cum puteți vedea mai jos.
Pentru a evita detectarea, fondurile furate sunt frecvent schimbate, legate sau chiar spălate folosind tehnici sofisticate. Acest lucru se poate face cu o varietate de instrumente, cum ar fi xxSwap etc., înainte de a fi depus în TornadoCash.
Analiza retragerii TornadoCash
Pe baza informațiilor furnizate mai sus, Analiza de retragere TornadoCash este cheia pe care Cazul 01 a putut să o rezolve.
Instrumentul descris mai jos este utilizat în procesul de analiză a retragerii. A ajutat la sortarea adreselor de retragere TornadoCash care îndeplinesc criteriile de filtrare.
După obținerea listei de adrese de retragere, am clasificat adresele de retragere după următoarele caracteristici:
Perioada de timp activă
Distributie pret gaze
Interacțiune cu platforme similare
Modele de adrese de retragere
Distribuirea sumei de retragere
Într-una dintre clasificările noastre, am constatat că avea caracteristici similare:
Platforme similare folosite — xxSwap
Aceeași perioadă activă ca și adresa hackerului
În concordanță cu suma depusă de hackeri către TornadoCash
Mai important, una dintre adresele de retragere a fost asociată cu adresa inițială a hackerului. Dându-ne astfel dovada că aceste adrese erau legate de hacker.
Monitorizarea retragerilor TornadoCash
Am notificat imediat părțile implicate cu privire la toate adresele relevante de retragere TornadoCash și am folosit sistemul nostru de monitorizare AML MistTrack pentru a ne avertiza cu privire la orice activitate ulterioară.
Comunicare în lanț
După câteva zile de monitorizare, am primit o alertă care ne informa că hackerii au trimis o parte din fondurile furate la o bursă după ce le-au transferat în diverse portofele. Am contactat imediat victima pentru a discuta cea mai bună cale de acțiune. Îi sfătuim echipa să contacteze agențiile de aplicare a legii pentru sprijin și să ajute proiectul să trimită un mesaj în lanț către hacker. Mesaj: „Rambursează fondurile furate în termen de 48 de ore și păstrează o parte ca recompensă pentru erori, sau vom continua investigația și vom lua măsuri legale cu asistența forțelor de ordine.” Pe parcursul întregului proces, am furnizat organelor de aplicare a legii probe și am monitorizat continuu toate adresele implicate.
Rezultat
În 9 ore de la trimiterea hackerului un mesaj în lanț, majoritatea fondurilor furate ale echipei au fost returnate.
