Chuỗi bài viết này là một nghiên cứu điển hình về dịch vụ điều tra MistTrack.
Tổng quan
Tin tặc đã tấn công một dự án và chuyển tất cả số tiền bị đánh cắp sang TornadoCash, khiến bên dự án phải tìm kiếm sự hỗ trợ từ MistTrack. Chúng tôi đã phát hiện ra địa chỉ rút tiền được đặt bằng cách thực hiện phân tích các giao dịch TornadoCash và hủy tiền từ những người dùng khác. Sau vài ngày chờ đợi, một số tiền bị đánh cắp cuối cùng đã được chuyển sang một sàn giao dịch. Chúng tôi đã gửi một tin nhắn trực tuyến đến địa chỉ rút tiền của hacker, yêu cầu trả lại số tiền bị đánh cắp hoặc đối mặt với hành động pháp lý. Số tiền bị đánh cắp đã được trả lại cho nhóm trong vòng chín giờ.
MistTrack đã đóng một vai trò quan trọng trong Trường hợp 01 bằng cách làm theo các bước sau:
1. Thiết lập niềm tin giữa các bên
2. Theo dõi số tiền bị đánh cắp
3. Phân tích hồ sơ hacker
4. Phân tích rút tiền TornadoCash
5. Giám sát việc rút tiền TornadoCash
6. Giao tiếp trên chuỗi
7. Sự tham gia và hỗ trợ của cơ quan thực thi khi cần thiết
Theo dõi quỹ bị đánh cắp
Sau khi nhận được yêu cầu hỗ trợ của nhóm, chúng tôi ngay lập tức bắt đầu điều tra và phân tích về vụ việc này.
Trong quá trình phân tích, chúng tôi kết luận rằng tất cả số tiền bị đánh cắp đã được chuyển sang TornadoCash.
Phân tích hồ sơ hacker
Phân tích hồ sơ tin tặc của MistTrack dựa trên những điểm chính này.
Nguồn phí gas
Công cụ được sử dụng
Dòng thời gian hoạt động
Hồ sơ hacker
Phân tích trước cuộc tấn công
…
Nguồn tài trợ ban đầu cho cuộc tấn công này có nguồn gốc từ TornadoCash, như bạn có thể thấy bên dưới.
Để tránh bị phát hiện, số tiền bị đánh cắp thường được hoán đổi, bắc cầu hoặc thậm chí rửa bằng các kỹ thuật phức tạp. Điều này có thể được thực hiện bằng nhiều công cụ khác nhau, chẳng hạn như xxSwap, v.v., trước khi gửi vào TornadoCash.
Phân tích rút tiền TornadoCash
Dựa trên thông tin được cung cấp ở trên, Phân tích việc rút tiền TornadoCash là chìa khóa mà Trường hợp 01 có thể giải quyết.
Công cụ được mô tả bên dưới được sử dụng trong quá trình phân tích rút tiền. Nó hỗ trợ việc sắp xếp các địa chỉ rút tiền TornadoCash đáp ứng các tiêu chí lọc.
Sau khi có được danh sách địa chỉ rút tiền, chúng tôi đã phân loại địa chỉ rút tiền theo các đặc điểm sau:
Khoảng thời gian hoạt động
Phân bổ giá gas
Tương tác với các nền tảng tương tự
Mẫu địa chỉ rút tiền
Phân bổ số tiền rút
Trong một trong những phân loại của chúng tôi, chúng tôi nhận thấy rằng nó có những đặc điểm tương tự:
Đã sử dụng các nền tảng tương tự — xxSwap
Cùng khoảng thời gian hoạt động với địa chỉ của hacker
Phù hợp với số tiền hacker gửi vào TornadoCash
Quan trọng hơn, một trong những địa chỉ rút tiền được liên kết với địa chỉ của hacker ban đầu. Do đó cung cấp cho chúng tôi bằng chứng những địa chỉ này có liên quan đến hacker.
Giám sát việc rút tiền TornadoCash
Chúng tôi đã thông báo ngay cho các bên liên quan về tất cả các địa chỉ rút tiền TornadoCash có liên quan và sử dụng hệ thống giám sát MistTrack AML của chúng tôi để cảnh báo cho chúng tôi về bất kỳ hoạt động nào khác.
Truyền thông trên chuỗi
Sau vài ngày theo dõi, chúng tôi nhận được cảnh báo cho biết tin tặc đã gửi một phần số tiền bị đánh cắp tới một sàn giao dịch sau khi chuyển chúng sang nhiều ví khác nhau. Chúng tôi ngay lập tức liên lạc với nạn nhân để thảo luận về cách hành động tốt nhất. Chúng tôi khuyên nhóm nên liên hệ với các cơ quan thực thi pháp luật để được hỗ trợ và hỗ trợ dự án gửi tin nhắn trực tuyến tới tin tặc. Thông báo: “Hoàn trả số tiền bị đánh cắp trong vòng 48 giờ và giữ lại một phần dưới dạng tiền thưởng phát hiện lỗi, nếu không chúng tôi sẽ tiếp tục điều tra và thực hiện hành động pháp lý với sự hỗ trợ của cơ quan thực thi pháp luật.” Trong toàn bộ quá trình, chúng tôi đã cung cấp cho cơ quan thực thi pháp luật bằng chứng và liên tục theo dõi tất cả các địa chỉ liên quan.
Kết quả
Trong vòng 9 giờ sau khi gửi tin nhắn trực tuyến cho hacker, phần lớn số tiền bị đánh cắp của nhóm đã được trả lại.
