Beosin：顶级黑客是如何对加密货币进行窃取和清洗的？

原文作者：Beosin

不知道大家是否还记得今年 3 月，发生的那笔接近 2 亿美金的Euler Finance攻击事件。

经过 Euler Labs 与攻击者的多轮协商之后，攻击者已归还从协议中盗取的所有资金。

起初 Euler Finance 攻击者为了混淆视听，向某国家级背景黑客组织（也是 Ronin 安全事件的黑客）转移了 100 枚 ETH。随后，该黑客组织对 Euler 的攻击者发送了一条链上通知，要求其解密一条加密信息。

包含此通知的这笔交易中，这个国家级背景黑客组织向 Euler 攻击者发送了 2 枚 ETH。但专家称，该消息是一个网络钓鱼骗局，试图窃取 Euler 攻击者钱包的私钥。

难道是典型的「黑吃黑」？据了解，该国家级背景黑客组织长期以来一直对加密货币业务进行网络攻击，并组建了数个专业团队——来进行网络攻击并清洗被盗资金。

今天，我们就结合Beosin KYT反洗钱与分析平台， 起底这个国家级黑客都是如何对加密货币进行攻击和清洗的？

以下是该国家级背景黑客部分 APT 组织名信息：

图源 etda.or.th

最近国外情报公司分析了该国家级背景黑客组织（以下简称黑客组织）的攻击活动，其中包含了对加密货币的攻击。据研究人员称，黑客组织会使用网络钓鱼技术试图感染目标，然后拦截大笔加密货币转账，更改收款人地址，并将转账金额推至最大额，意图在单笔交易中耗尽账户资金。

你的加密货币是如何被黑客窃取的？

鱼叉邮件作为诱饵

黑客组织使用来自虚假或欺骗性角色的鱼叉式网络钓鱼电子邮件来接近他们的目标，在这些网站中包含虚假登录页面，诱骗受害者输入帐户凭据。

下图是黑客组织使用过的钓鱼邮件诱饵，针对加密货币专业人士：

图源卡巴斯基

恶意安卓 APP 盗取

国外情报公司观察到黑客组织使用恶意 Android 应用程序，这些应用程序针对希望获得加密货币贷款的中国用户，该应用程序和关联的域名可能会收集用户凭据。

黑客组织甚至会建立虚假的加密货币软件开发公司，以诱骗受害者安装看似合法的应用程序，这些应用程序在更新时会安装后门。

专家认为，黑客组织目前正在积极测试新的恶意软件传递方法，例如，使用以前未使用的文件类型（如新的 Visual Basic Script、隐藏的 Windows 批处理文件和 Windows 可执行文件）来感染受害者。

替换 Metamask 插件

当黑客组织获取到用户主机权限时，会监视用户数周或数月以收集键盘记录并监控用户的日常操作。

如果黑客组织发现目标用户使用了浏览器扩展钱包（如 Metamask）时，他们会将扩展源从 Web Store 更改为本地存储，并将核心扩展组件（backgorund.js）替换为篡改版本。

下图对比显示了两个文件：一个合法的 Metamask background.js 文件及黑客篡改代码的变体，修改的代码行以黄色突出显示。

社会工程手段攻击

Beosin 安全研究团队同样发现，黑客组织可能会通过社会工程手段，如仿冒交易平台、发送欺诈性电子邮件等，来欺骗用户将加密货币转移到他们的账户中。

仿冒交易平台：伪装成知名的加密货币交易平台，通过仿冒的网站或应用程序，欺骗用户输入自己的账户信息，从而窃取用户的资产。

资金盘诈骗：创建虚假的加密货币资金盘，向用户承诺高额回报，并引导用户进行投资，然后将用户的资金转移到其他账户，并关闭资金盘。

社交媒体欺诈：利用社交媒体平台，如 Twitter、Telegram、Reddit 等，伪装成加密货币交易专家或投资人，发布虚假的投资建议或价格分析，引诱用户进行投资，从而骗取资金。

扩展阅读：加密大 V 遭遇木马病毒，其钱包大额资产被盗给我们哪些启示？

黑客是如何清洗加密货币的？

通过混币器清洗

此外，黑客组织还利用以太坊区块链上最受欢迎的混币器 Tornado Cash 转移资金，例如 2020 年某交易所被盗，当时被盗资金超过 2.7 亿美元。

黑客使用 Tornado Cash 对被盗的 ETH 资金进行洗钱，在 Beosin KYT 中查看黑客（0x eb 31973 e 0 febf 3 e 3d 7058234 a 5 ebbae 1 ab 4 b 8 c 23 ）的资金流向，如下所示有大额资金进入了 Tornado cash。

黑客组织使用被盗的比特币来支付 Namecheap 服务（图源 Mandiant）

哈希算力租赁允许客户租用计算能力进行加密货币挖掘，哈希算力是指计算机或硬件用于运行和求解不同哈希算法的算力，这些算法用于新加密货币的生成并驱动加密货币之间进行交易，这个过程也被称为挖矿，这可以用加密货币支付。情报公司表示，黑客组织使用这些服务来清洗被盗的加密货币，因此无法追溯到恶意操作。

黑客组织通过哈希算力租赁服务洗钱（图源 Mandiant）

通过暗网市场清洗

黑客组织可能会使用暗网市场上的加密货币交易来进行洗钱。这些市场允许匿名交易，使得黑客可以在其中进行交易，以便将他们的黑钱变为可支配资金。

黑客使用暗网市场对加密货币进行洗钱的过程可以大致分为以下几个步骤：

1 在暗网市场上寻找买家：黑客会在暗网市场上寻找想要购买加密货币的买家。这些市场上有许多匿名交易的工具和服务，使得黑客可以更轻松地进行交易，同时减少被揭露的风险。

2 准备好洗钱的加密货币：黑客需要将他们从非法活动中获得的加密货币准备好，以便在交易时快速转移资金，同时减少交易被追踪的风险。

3 完成交易：黑客会通过暗网市场上的匿名交易工具和服务完成交易，将加密货币转移到买家的地址中。这些交易可能涉及多种加密货币和支付方式。

4 将洗钱所得转移到合法渠道：黑客需要将他们从暗网市场上获得的加密货币转移到合法的渠道中，以便能够使用这些资金进行日常生活和业务活动。这可能包括将加密货币转换为法定货币，或将其投资于其他合法资产。

使用代理账户清洗

黑客组织可能会使用代理账户，以避免被追踪。这些代理账户可能由境外同伙或在海外的留学生等人员持有。

以下是可能的代理账户洗钱手法：

通过控制他人账户来洗钱：政府或其代理人员可能会控制他人的银行账户来进行洗钱。这些受控制的账户可能是在境外的同胞或关系密切的个人账户。

购买现成的代理账户：另一种可能的手法是购买已有的代理账户。这些账户可能由境外同伙或在境外的代理人员创建和持有。

创建虚假公司和账户：可能会创建虚假公司和账户，将其用作代理账户来进行洗钱。这种手法通常涉及虚假身份、地址和联系方式等信息，以躲避监管和审查。

标签：EOS 加密 加密货币 货币 黑客