MistTrack 案例二|Wasabi Coinjoin 提款分析
By: Enze & Zero
概览
某大户地址私钥泄露被盗,被盗资金被转移到 Wasabi Coinjoin 中。被盗用户寻求 MistTrack 团队(https://misttrack.io/)协助。MistTrack 团队对混入 Wasabi Coinjoin 的被盗资金进行提款分析,成功追踪并重新捕获资金流向。随后,黑客对资金进行跨链交易。MistTrack 团队发现跨链后黑客地址有转移到交易所的历史痕迹,于是协助执法机构与交易所取得联系,申请调证并对相关账户进行风控。后黑客进一步转移被盗资金到交易所相关账户,部分被盗资金成功被冻结。
MistTrack 团队在此案例中的关键步骤主要包括:
1. 建立信任关系:与被盗用户建立良好的信任关系,这是分析和追踪工作的基础;
2. 追踪被盗资金:通过专业技术追踪被盗资金的流向;
3. 分析黑客行为:对黑客的行为模式进行深度分析,以理解其操作和预测其可能的下一步行动;
4. Wasabi Coinjoin 提款分析:利用专门的分析工具研究被混入 Wasabi Coinjoin 的被盗资金;
5. 跨链追踪:当黑客进行跨链交易尝试转移资金时,追踪资金的流向;
6. 执法机构介入:在必要的情况下,请执法机构介入并提供支持。
接下来,我们将详细讲述 MistTrack 团队在此案例中的具体工作和分析过程。
被盗资金追踪
在接到被盗用户的求助请求后,MistTrack 团队迅速对被盗资金展开调查和追
踪。
在追踪过程中,我们发现大部分资金已被转入 Wasabi Coinjoin。
Wasabi Coinjoin 提款分析
基于初步掌握的情况,本案例的关键突破点在于 Wasabi Coinjoin 的提款部分。因此,我们围绕这一点进行了深入分析。
MistTrack 团队对 Wasabi Coinjoin 过程中的输出(output)和输入(input)地址进行了研究,并对多笔资金的交集进行了详细的分析和比较。
在获得提款地址列表后,MistTrack 团队从以下几方面分析这些地址:
地址使用频率
输入金额
提款金额
提款后的交易行为特征
经过一系列的详细分析,团队成功分析出多个可疑的提款地址。接着,我们对这些提款地址的提款数额进行统计和比较,结果发现这些数额与黑客转入 Wasabi Coinjoin 的资金基本一致。我们发现不同的 Wasabi Coinjoin 提款交易存在着一定的关联性,且提款地址存在聚类关系。因此,基本可以确定这些地址就是黑客的提款地址。
下图是黑客 Coinjoin 交易鸟瞰图:
下图是黑客 Coinjoin 交易的局部鸟瞰图:
跨链追踪
在 MistTrack 团队分析出黑客的 Wasabi Coinjoin 提款地址列表之后,对被盗资金进行了进一步追踪。我们发现黑客使用 renBTC 进行跨链操作。通过深入分析 renBTC 跨链资金,我们成功获得黑客在以太坊链上的 renBTC 提款地址。
随后,黑客获取了 renBTC 并通过交换平台将其兑换为 ETH,再进一步将其分散转移到多个交易所。
黑客痕迹分析
依据上述的链上痕迹,MistTrack 团队对黑客的行为痕迹进行了深入分析:
黑客画像
黑客显然对加密货币的洗钱手法非常熟悉,而且精通利用各种自动化工具和暗网工具来操作。
Wasabi Coinjoin 使用界面截图
黑客的其他交易
黑客 ETH 链 renBTC 提款地址存在从交易所存提款的交易。
交易所账户风控
在 MistTrack 团队分析出黑客使用交易所的历史记录后,立即将这些信息同步给被盗用户,并协助执法机构联系交易所申请调证。紧接着,交易所对可能涉及的账户实施了相关的风控措施。
结果
最终,当黑客进一步转移被盗资金到交易所相关账户时,在 MistTrack 团队、执法机构、交易所三方的紧密协作下,成功冻结了部分被盗资金。这一举措有效阻止了黑客进一步转移资金。目前,剩余资金仍处于 MistTrack 团队的监控中。
往期回顾
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF