Atomic Wallet攻击原理和洗钱模式分析

加密钱包 Atomic Wallet 遭攻击,大量用户资产被盗,部分用户损失超过百万美元,影响范围极大。SharkTeam 对本次攻击的攻击原理和黑客的洗钱模式进行分析。

6 月 3 日,加密钱包 Atomic Wallet 遭攻击,大量用户资产被盗,部分用户损失超过百万美元,影响范围极大。SharkTeam 对本次攻击的攻击原理和黑客的洗钱模式进行分析。

一、攻击原理分析

SharkTeam 对 Atomic Wallet 进行了 App 和服务器 API 的封闭黑盒测试。测试过程概述如下:

(1)本次测试版本为 Android 的 Atomic Wallet 1.13.20 和 1.15.1。我们对 Android 应用打包发布证书信息进行了匹配,证书信息和官方证书相一致,排除「二次打包 + 钓鱼网站」攻击窃取私钥。

(2)对 APP 本地缓存文件做了分析,经检测,涉及到账号信息的敏感数据也都做了混淆加密处理。

Atomic Wallet攻击原理和洗钱模式分析

(3)对 APP 运行过程进行了抓包,但并未发现密钥上传泄露的攻击行为,同时数据已经经过了合理的加密处理。

Atomic Wallet攻击原理和洗钱模式分析

(4)Android 客户端未做动态防护和加固处理,执行过程可以被注入攻击,用户可能会因为安装了被黑客控制的恶意 App 而被攻击,造成私钥泄漏。恶意 App 可以通过社工方式被诱导安装或部分恶意 Android 系统的内置应用。

Atomic Wallet攻击原理和洗钱模式分析

(5)使用流量监控工具查看网络连接情况,经过一段时间运行后观察 http、dns、icmp、ssh 等流量情况,未发现 app 存在明显向其他第三方发送敏感数据的情况。分析 app 和服务器后端 api 接口交互情况,api 接口均需要进行权限校验,未发现未授权或隐藏的 api 接口。

通过测试和分析,我们认为造成本次事件最可能的攻击点:

(1)AtomicWallet 开发过程中可能误引入了恶意 SDK,被黑客通过「软件供应链攻击」的方式留下了后门。

(2)数据加密算法相关资料泄密,导致加密方式和加密弱点被发现,并造成私钥被爆破。

(3)Android App 客户端未做动态防护,用户 Android 设备中被植入了恶意软件,实施注入攻击,窃取用户密码或私钥。

二、洗钱模式分析

Atomic Wallet 用户因黑客攻击损失了至少 3500 万美元,前五名损失达 1700 万美元,其中一名用户被盗 795 万美元。此外,据 SharkTeam 的链上安全分析平台 ChainAegis 数据显示,受害者的损失总额已超过 5000 万美元。我们对损失前 5 中的 2 位受害者地址进行资金流向分析,去除黑客设置的技术干扰因素后(大量的假代币转账交易 + 多地址分账),可以得到黑客的资金转移模式:

Atomic Wallet攻击原理和洗钱模式分析
图:Atomic Wallet 受害者 1 资金转移视图

受害者 1 地址 0xb02d…c6072 向黑客地址 0x3916…6340 转移 304.36 ETH,通过中间地址 0x0159…7b70 进行 8 次分账后,归集至地址 0x69ca…5324。此后将归集资金转移至地址 0x514c…58f67,目前资金仍在该地址中,地址 ETH 余额为 692.74 ETH(价值 127 万美元)。

Atomic Wallet攻击原理和洗钱模式分析
图:Atomic Wallet 受害者 2 资金转移视图

受害者 2 地址 0x0b45…d662 向黑客地址 0xf0f7…79b3 转移 126.6 万 USDT,黑客将其分成三笔,其中两笔转移至 Uniswap,转账总额为 126.6 万 USDT;另一笔向地址 0x49ce…80fb 进行转移,转移金额为 672.71ETH。受害者 2 向黑客地址 0x0d5a…08c2 转移 2.2 万 USDT,该黑客通过中间地址 0xec13…02d6 等进行多次分账,直接或间接将资金归集至地址 0x3c2e…94a8。

这种洗钱模式和朝鲜黑客在之前的 Ronin Network、Harmony 攻击事件中的洗钱模式高度一致,均包含三个步骤:

(1)被盗资金整理兑换:发起攻击后整理原始被盗代币,通过 dex 等方式将多种代币 swap 成 ETH。这是规避资金冻结的常用方式。

(2)被盗资金归集:将整理好的 ETH 归集到数个一次性钱包地址中。Ronin 事件中黑客一共用了 9 个这样的地址,而 Harmony 使用了 14 个,本次 Atomic Wallet 事件使用了近 30 个地址。

(3)被盗资金转出:使用归集地址通过 Tornado.Cash 将钱洗出。这便完成了全部的资金转移过程。

除了具备相同的洗钱模式,在洗钱的细节上也有高度的一致性:

(1)攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在事件发生几天后开始后续洗钱动作,目前 Atomic Wallet 事件的部分被盗资金已进行了的分账处理,但还没开始通过 Tornado.Cash 混币,分析很可能会在几天后开始混币。

(2)洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一。

Atomic Wallet攻击原理和洗钱模式分析
图:Ronin Network breathfirst 洗钱模式视图
Atomic Wallet攻击原理和洗钱模式分析
图:Harmony breathfirst 洗钱模式视图

通过链上分析,我们认为:

(1)Atomic 洗钱手法与 Ronin Network、Harmony 洗钱手法存在一致性,均为多账号分账、小额转移资产的洗钱方式。因此攻击者可能来源于朝鲜黑客组织。

(2)但在 Atomic 事件资金转移过程中,出现了大量假币交易,黑客希望通过这种方式提高分析难度。在四级交易网络中,以 27 个地址进行分账转移,其中 23 个账户均为假币转移,之前的两次事件并没有这种干扰技术,说明黑客的洗钱技术也在升级。

Atomic Wallet攻击原理和洗钱模式分析

(3)目前 Atomic 被盗资金仍在分账地址中。若为朝鲜黑客攻击,洗钱操作尚未完成,后续可能出现像 Harmony 事件一样转移至 Tonado Cash 进行混币。

(4)在资金流向分析中,地址 0x3c2eebc、0x3b4e6e7e 曾分别与带有 Binance 18、Binance 14 标签的热钱包地址进行交互,但由于转账金额较小,并不排除并没有在币安上进行 KYC 认证的可能。

Atomic Wallet攻击原理和洗钱模式分析

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
Gao的头像Gao
上一篇 2023年6月8日 下午6:16
下一篇 2023年6月8日 下午6:32

相关推荐

  • 一览Web3零知识证明市场版图

    下图中的项目和公司正在构建整个区块链技术堆栈的技术设施,从第 1 层区块链到第 2 层 rollup、跨链桥、互操作性层、新的语言和针对 zk 应用程序优化的环境等。

    2023年2月9日
    1.9K
  • 工具盘点丨AIGC可以为Web3做什么?

    对于内容行业的人来说,有了 AI 绘画后,小编再也不用麻烦设计小哥了,自己就能制作文章封面图或插图,生产效率大大提升。Maze guru 是一款通用类 AI 绘画平台,目前平台已经支持超十种 AI 模型,主要服务于 Web3 产业链,包含且不仅限于媒体、gamefi、NFT 项目方及元宇宙场景搭建。

    2023年2月21日
    1.4K
  • Web3世界日报(2023-6.12)

    a16z将在伦敦开设办事处,并计划启动区块链加速器项目。V神:为长期可持续发展,以太坊需进行“Layer2扩展、钱包安全和隐私”三项转变。香港投资推广署主管:Web3相关政策已在立法会上走流程,大概需要1年时间。

    2023年6月12日
    1.4K

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613