2023 年,Web3產業經歷了940 多起大大小小的安全事件,年比2022 年成長了超過50% ,損失金額達到17.9 億美元。其中,第三季發生的安全事件最多(360 起),損失最大(7.4 億美元),損失年比2022 年增加了47% 。特別是7 月份,共發生187 起安全事件,損失金額達3.5 億美元。
圖:Web 3 2023 每季/每月安全事件發生筆數
圖:Web 3 2023 每季/每月安全事件損失金額(百萬美元)
首先,黑客攻擊仍是引發重大損失的一個主要原因。 2023 年全年因駭客攻擊事件達216 起,造成10.6 億美元損失。合約漏洞、私鑰竊取、釣魚攻擊、國家黑客仍是威脅Web3生態安全的重要原因。
其次,Rugpull 和資金盤詐騙呈現高發態勢, 2023 年共發生250 起Rugpull 和Scam 詐騙事件,其中BNBChain 上此類事件發生頻率最高。詐騙項目透過發布看似有吸引力的加密項目,吸引投資者參與,並提供一些虛假流動性,一旦吸引了足夠的資金,就會突然盜取所有資金,並進行資產轉移。這類詐騙行為會為投資者帶來嚴重的經濟損失,也大大提高投資者選擇正確項目的難度。
另外,勒索軟件使用加密貨幣收取贖金也成為趨勢,例如Lockbit、Conti、Suncrypt 和Monti。加密貨幣相比法幣更難追踪,如何利用鏈上分析工具對勒索軟件團夥進行身份追踪定位也越發重要。
最後,在這些加密貨幣駭客攻擊和詐騙勒索等犯罪活動中,不法分子獲得加密貨幣後通常需要透過鏈上資金轉移和OTC 來洗錢。洗錢通常是去中心化、中心化混合的方式,中心化交易所是最集中的洗錢場所,其次是鏈上混幣平台。
2023 年,也是Web3監管取得實質發展的一年,FTX 2.0 重啟、制裁幣安、USDT 封鎖哈馬斯等地址, 2024 年1 月SEC 通過比特幣現貨ETF,這些標誌性事件都代表著監管正在深度介入Web3的發展。
本報告將對2023 年的Web3駭客攻擊、Rugpull 詐騙、勒索軟件、加密貨幣洗錢、Web3監管等關鍵主題進行系統性分析,以了解加密貨幣產業發展的安全態勢。
一、合約漏洞
合約漏洞攻擊主要發生在以太坊上, 2023 年下半年以太坊上共發生36 起合約漏洞攻擊,損失金額超過2 億美元,其次是BNBChain。攻擊手段上,業務邏輯漏洞和閃電貸攻擊仍是最常發生。
圖:Web 3 2023 每季發生駭客攻擊事件筆數和損失金額(百萬美元)
圖:Web 3 2023 H 2 每月發生合約漏洞利用駭客攻擊事件筆數和損失金額
圖:Web 3 2023 H 2 不同鏈每月發生合約漏洞攻擊筆數和損失金額
圖:Web 3 2023 H 2 合約漏洞利用具體攻擊手段發生筆數與損失金額
典型事件分析:Vyper 漏洞導致Curve、JPEGd 等項目被攻擊
以JPEGd 被攻擊為例:
攻擊者地址:0x6ec21d1868743a44318c3c259a6d4953f9978538
攻擊者合約:0x9420F8821aB4609Ad9FA514f8D2F5344C3c0A6Ab
攻擊交易:
0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c
(1)攻擊者(0x6ec21d18)創造0x466B85B4 的合約,透過閃電貸向[Balancer: Vault]借了80, 000 枚WETH。
(2)攻擊者(0x6ec21d18)在pETH-ETH-f(0x9848482d)流動性池中加入了40, 000 枚WETH,獲得32, 431 枚pETH。
(3)隨後攻擊者(0x6ec21d18)從pETH-ETH-f(0x9848482d)流動性池中重複地移除流動性。
(4)最終,攻擊者(0x6ec21d18)獲得86, 106 枚WETH,歸還閃電貸後,獲利6, 106 枚WETH 離場。
漏洞分析:此攻擊是典型的重入攻擊。對遭受攻擊的項目合約進行字節碼反編譯,我們從下圖可以發現:add_liquidity 和remove_liquidity 兩個函數在進行校驗儲存槽值時,所要驗證的儲存槽是不一樣的。使用不同的儲存槽,重入鎖可能會失效。此時,懷疑是Vyper 底層設計漏洞。
結合Curve 官方的推文所說。最終,定位是Vyper 版本漏洞。漏洞存在於0.2.15、 0.2.16、 0.3.0 版本中,在重入鎖定設計上有缺陷。我們比較0.2.15 之前的0.2.14 以及0.3.0 之後的0.3.1 版本,發現這部分代碼在不斷更新中,老的0.2.14 和較新的0.3.1 版本沒有這個問題。
在Vyper 對應的重入鎖相關設定檔data_positions.py 中,storage_slot 的值會被覆寫。在ret 中,第一次取得鎖的slot 為0 ,然後再次呼叫函數時會將鎖的slot 加1 ,此時的重入鎖會失效。
二、釣魚攻擊
釣魚攻擊是一種網絡攻擊手段,旨在透過欺騙和誘導目標,獲取其敏感資訊或誘使其執行惡意操作。這種攻擊通常透過電子郵件、社群媒體、簡訊或其他通訊管道進行,攻擊者會偽裝成可信任的實體,如專案方、權威機構、KOL 等,引誘受害者提供私鑰、助記詞或交易授權。與合約漏洞攻擊類似,釣魚攻擊在Q3呈現高發高損失狀態,總共發生107 起釣魚攻擊,其中7 月發生58 起。
圖:Web 3 2023 每季發生釣魚攻擊事件筆數和損失金額(百萬美元)
圖:Web 3 2023 每月發生釣魚攻擊事件筆數
典型釣魚攻擊鏈上資產轉移分析
2023 年9 月7 日,地址(0x13e382)遭遇釣魚攻擊,損失超2, 400 萬美元。釣魚駭客透過資金盜用、資金兌換和分散式地資金轉移,最終損失資金中3, 800 ETH 被相繼分批次轉移至Tornado.Cash、 10, 000 ETH 被轉移至中間地址(0x702350),以及1078 , 087 DAI 至今保留在中間地址(0x4F2F02)。
這是一次典型的釣魚攻擊,攻擊者通過騙取錢包授權或私鑰,竊取用戶資產,已形成了以釣魚+洗錢的黑色產業鏈,目前越來越多的詐騙團夥甚至是國家黑客都採用釣魚的方式在Web3領域為非作歹,非常需要大家注意與警覺。
根據SharkTeam 鏈上大數據分析平台ChainAegis (https://app.chainaegis.com/) 的追蹤分析,我們將對典型釣魚攻擊的詐騙過程、資金轉移情況以及詐騙者鏈上行為進行相關分析。
(1)釣魚攻擊過程
受害者地址(0x13e382)透過Increase Allowance向詐騙者地址1 (0x4c10a4)授權rETH 和stETH。
詐騙者地址1 (0x4c10a4)將受害者地址(0x13e382)帳戶中的9, 579 stETH 轉帳至詐騙者地址2 (0x693b72),金額約1, 532 萬美元。
詐騙者地址1 (0x4c10a4)將受害者地址(0x13e382)帳戶中的4, 850 rETH 轉帳至詐騙者地址2 (0x693b72),金額約841 萬美元。
(2)資產兌換與轉移
將被竊取的stETH 和rETH 兌換成ETH。自2023-09-07 凌晨開始,詐騙者地址2 (0x693b72)分別在Uniswap V2、Uniswap V3、Curve 平台進行多筆兌換交易,將9, 579 stETH 和4, 850 rETH 全部兌換成ETH,兌換合計14 , 783.9413 ETH。
stETH 兌換:
rETH 兌換:
部分ETH 兌換成DAI。詐騙者地址2 (0x693b72)將1, 000 ETH 透過Uniswap V3平台兌換成1, 635, 047.761675421713685327 DAI。詐騙者透過分散式資金轉移手段,將盜用資金轉移至多個中間錢包地址,總計1, 635, 139 DAI 和13, 785 ETH。其中1, 785 ETH 被轉移至中間地址(0x4F2F02), 2, 000 ETH 被轉移至中間地址(0x2ABdC2)以及10, 000 ETH 被轉移至中間地址(0x702350)。此外,中間地址(0x4F2F02)於次日獲得1, 635, 139 DAI
中間錢包地址(0x4F2F02)資金轉移:
該地址經一層資金轉移,擁有1, 785 ETH 和1, 635, 139 DAI。分散轉移資金DAI,以及小額兌換成ETH
首先,詐騙者於2023-09-07 日凌晨開始陸續透過10 筆交易轉移529, 000 個DAI。隨後,前7 筆共452, 000 DAI 已由中間位址轉至0x4E5B2e(FixedFloat),第8 筆,由中間位址轉至0x6cC5F6(OKX),最後2 筆共77, 000 DAI 由中間位址轉至0xf1dA17( eXch)。
其次,在9 月10 日,透過Uniswap V2將28, 052 DAI 兌換成17.3 ETH。
從9 月8 日開始到9 月11 號,陸續進行18 筆交易,將1, 800 ETH 全部轉移至Tornado.Cash。
經過轉移後,該地址最終還剩餘盜取資金1078, 087 DAI 未轉出。
中間地址(0x2ABdC2)資金轉移:
該地址經一層資金轉移,擁有2, 000 ETH。首先該地址於9 月11 日將2000 ETH 轉移至中間地址(0x71C848)。
隨後中間地址(0x71C848)分別在9 月11 日和10 月1 日,透過兩次資金轉移,總計20 筆交易,每筆轉移100 ETH,總計轉移2000 ETH 至Tornado.Cash。
中間地址(0x702350)資金轉移
該地址經一層資金轉移,擁有10, 000 ETH。截至2023 年10 月08 日, 10, 000 ETH 仍在該地址帳戶中未轉移。
地址線索追蹤:經過對詐騙者地址1 (0x4c10a4)和詐騙者地址2 (0x693b72)的歷史交易進行分析,發現曾有一個EOA 地址(0 x846317)轉帳1.353 ETH 至詐騙者地址2 地址(0x693b72),而此EOA 地址資金來源涉及與中心化交易所KuCoin 和Binance 的熱錢包地址。
三、Rugpull 與欺詐
2023 年Rugpull 詐騙事件發生的頻率呈現較為顯著的上升趨勢,Q4達到73 筆,損失金額為1, 900 萬美元,平均單筆損失約為2.6 萬美元,全年Rugpull 詐騙損失金額中佔比最高的季度是Q2,其次是Q3,損失佔比均超過30% 。
2023 年下半年,共計發生139 起Rugpull 事件和12 起詐騙事件,分別造成7,155 萬美元的損失和3.4 億美元的損失。
2023 年下半年Rugpull 事件主要發生在BNBChain 上,達到91 次,佔比超過65% ,損失達2,957 萬美元,損失佔41% 。以太坊(44 次)次之,損失739 萬美元。除以太坊和BNBChain 外, 8 月Base 鏈上發生BALD Rugpull 事件,造成了嚴重損失,損失2,560 萬美元。
圖:Web 3 2023 每季發生Rugpull 和Scam 事件筆數和損失金額(百萬美元)
圖:Web 3 2023 H 2 每月發生Rugpull 和Scam 事件筆數和損失金額
圖:Web 3 2023 H 2 不同鏈每月發生Rugpull 事件筆數和損失金額
Rugpull 詐騙工廠行為分析
在BNBChain 上流行著一種Rug 詐騙工廠模式,用於批量製造Rugpull 代幣並進行詐騙。讓我們一起看看假SEI、X、TIP 和Blue 幾個代幣的Rugpull 工廠詐騙行為模式。
(1)SEI
首先,假SEI 代幣所有者0x0a8310eca430beb13a8d1b42a03b3521326e4a58以1 U 的價格兌換了249 枚假SEI。
然後, 0x6f9963448071b88FB23Fd9971d24A87e5244451A進行了批量買入和賣出操作。在買入和賣出操作下,代幣的流動性明顯增加,價格也發生了上漲。
透過釣魚等方式宣傳,誘惑大量用戶購買,隨著流動性增加,代幣價格翻倍。
當代幣的價格達到一定的數值時,代幣所有者進場sell 操作進行Rugpull。可以從下圖看出,進場收割時段和價格都不同。
(2)假X、假TIP、假Blue
首先X、TIP 和Blue 代幣所有者0x44A028Dae3680697795A8d50960c8C155cBc0D74用1 U 兌換了相應的代幣。然後,和假Sei 代幣一樣。
0x6f9963448071b88FB23Fd9971d24A87e5244451A批量的買入和賣出操作。在買入和賣出操作下,流動性明顯增加,價格上漲。
然後透過釣魚等一些途徑宣傳,誘惑大量的用戶進行購買,隨著流動性增加,代幣價格也翻倍。
和假SEI 一樣,代幣的價格達到一定的數值時,代幣所有者進場sell 操作進行Rugpull。可以從下圖看出,進場收割時段和價格都不同。
假SEI、假X、假TIP 和假Blue 幾個代幣的波動圖如下:
我們從資金溯源、行為模式可以得知:
在資金溯源內容中,代幣工廠的創建者和代幣創建者的資金來自多個EOA 賬戶。不同帳戶之間也有資金往來,其中一些通過釣魚地址轉移,一些通過之前進行代幣Rugpull 行為獲取,還有一些通過tornado cash 等混幣平台獲得。採用多種方式進行資金轉移旨在建立複雜錯綜複雜的資金網絡。不同地址還創建了多個代幣工廠合約,並大量生產代幣。
在分析代幣Rugpull 行為時,我們發現地址
0x6f9963448071b88FB23Fd9971d24A87e5244451A是其中一個資金來源。操作代幣價格時,也採用了大量方式。地址0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3也充當了資金提供者的角色,向多個代幣持有者提供相應的資金。 。
透過分析可以得到,這一系列行為背後有一個分工明確的Web3詐騙團夥,構成了一個黑色產業鏈,主要涉及熱點蒐集、自動發幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節,多發生於BNBChain。所發的Rugpull 虛假代幣都與產業熱點事件緊密相關,具有較強的迷惑性和鼓動性。使用者需時時提高警惕,保持理性,避免不必要的損失。
四、勒索軟體
2023 年勒索軟體攻擊威脅仍時時刻刻威脅著各機構和企業,勒索軟體攻擊變得越來越複雜,攻擊者使用各種技術來利用組織系統和網路中的漏洞。不斷擴散的勒索軟件攻擊繼續對全球的企業組織、個人和關鍵基礎設施構成重大威脅。攻擊者正在不斷調整和改進他們的攻擊策略,利用洩漏的原始碼、智慧化的攻擊方案和新興的程式語言來最大化他們的非法收益。
LockBit、ALPHV/BlackCat 和BlackBasta 是目前最活躍的勒索軟體勒索組織。
圖:勒索組織的受害者數量
目前,越來越多的勒索軟件採取透過加密貨幣收款的方式,以Lockbit 為例,最近被LockBit 攻擊的企業有:今年6 月底台積電、 10 月波音公司、 11 月中國工商銀行美國全資子公司等等,大多採用比特幣收取贖金,LockBit 收到贖金後會進行加密貨幣洗錢,以下我們以Lockbit 為例對勒索軟件洗錢模式進行分析。
根據ChainAegis 分析,LockBit 勒索軟件大多採用BTC 收取贖金,使用不同收款地址,部分地址和收款金額整理如下,單筆勒索的BTC 在0.07 個到5.8 個不等,約2, 551 美元到211, 311 美元不等。
圖:LockBit 部分收款地址與收款金額
以涉款金額最高的兩個位址進行鏈上位址追蹤與反洗錢分析:
勒索收款地址1 :1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM;
勒索收款地址2 :1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH。
(1)勒索收款地址1 :1PtfhwkUSGVTG6Mh6hYXx1c2sJXw2ZhpeM
根據下圖分析,地址1 (1Ptfhw)在2021 年3 月25 日至2021 年5 月15 日共收到17 筆鏈上交易,在收到資金後迅速轉移資產,轉移至13 個核心中間地址。這些中間地址透過資金層層轉移至6 個二層中間地址,分別是:3FVzPX…cUvH、1GVKmU…Bbs1、bc1qdse…ylky、1GUcCi…vSGb、bc1qan… 0ac4和13CPvF…Lpdp。
中間地址3FVzPX…cUvH,透過鏈上分析,發現其最終流向暗網地址361 AkMKNNWYwZRsCE 8 pPNmoh 5 aQf 4 V 7 g 4 p。
中間地址13CPvF…Lpdp 以小額0.0002 2B TC 轉至CoinPayments,存在有500 個類似的交易,合計0.21 個BTC 均被匯集至CoinPayments 地址:bc1q3y…7y88,利用CoinPayments 進行洗錢。
其他中間地址最終流入中心化交易所幣安和Bitfinex。
圖:地址1 (1Ptfhw…hpeM)資金來源與資金流出明細
圖:地址1 (1Ptfhw…hpeM)資金流追踪
圖:地址1 (1Ptfhw…hpeM)涉及的中間地址和資金流明細
圖:地址1 (1Ptfhw…hpeM)交易圖譜
(2)勒索收款地址2 :1HPz7rny3KbjEUURHKHivwDrNWAAsGVvPH
受害者在2021 年5 月24 日至2021 年5 月28 日期間,透過11 筆交易向勒索業者LockBit 支付4.16 個BTC。隨即,地址2 (1HPz7rn...VvPH)迅速將勒索資金1.89 枚BTC 轉到中間地址1: bc1qan…0ac4、 1.84 枚轉到中間地址2: 112QJQj…Sdha、0.34 枚轉到中間地址3: 19Uxbt… 9RdF。
最終中間地址2: 112QJQj…Sdha 和中間地址3: 19 Uxbt… 9 RdF 均將資金轉到中間地址1: bc1qan…0ac4。緊接著,中間地址1bc1qan…0ac4繼續資金轉移,一小部分資金直接轉入幣安交易所,另外一部分資金透過中間地址層層轉移,最終轉移至幣安和其他平台進行洗錢,具體交易明細和地址標籤如下。
圖:地址2 (1HPz7rn...VvPH)資金來源與資金流出明細
圖:地址2 (1HPz7rn...VvPH)資金流追踪
圖:地址2 (1HPz7rn...VvPH)涉及的中間地址和資金流明細
LockBit 收到贖金後會進行加密貨幣洗錢,這種洗錢模式與傳統洗錢方式不同,通常發生在區塊鏈上,具有周期長、資金分散、高度自動化和復雜度高的特點。要進行加密貨幣監管和資金追踪,一方面要建立鏈上、鏈下的分析及取證能力,另一方面要在網絡安全層面展開APT 級的安全攻防,具備攻防一體的能力。
五、洗錢
洗錢(Money Laundering)是一種將非法所得合法化的行為,主要指將違法所得及其產生的收益,透過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化。其行為包括但不限於提供資金帳戶、協助轉換財產形式、協助轉移資金或匯往境外。而加密貨幣——尤其是穩定幣——因其低廉的轉帳成本,去地理化的特質以及一定的抗審查特性,在相當早的時間便已經被洗錢活動所利用,這也是導致加密貨幣被詬病的主要原因之一。
傳統的洗錢活動往往會利用加密貨幣場外交易市場,進行從法幣到加密貨幣,或從加密貨幣到法幣的兌換,其中洗錢場景不同,形式也多樣化,但無論如何這類行為的本質都是為了阻斷執法人員對資金連結的調查,包括傳統金融機構帳戶或加密機構帳戶。
與傳統洗錢活動不同的是,新型的加密貨幣洗錢活動的清洗標的為加密貨幣本身,包括錢包、跨鏈橋、去中心化交易平台等在內的加密行業基礎設施都會被非法利用。
圖:近年來洗錢金額
從2016 年到2023 年,加密貨幣洗錢總數達1,477 億美元之多。從2020 年開始洗錢金額以每年67% 的速度不斷增加,到2022 年達到238 億美元,在2023 年達到800 億美元之多,洗錢數目令人瞠目,加密貨幣反洗錢行動勢在必行。
根據ChainAegis 平台統計,鏈上混幣平台Tornado Cash 的資金量自2020 年1 月以來一直保持著高速成長,目前已經有近362 萬個ETH 存款於這個資金池中,存入總額達78 億美元, Tornado Cash 已然變成以太坊最大的洗錢中心。但隨著2022 年8 月美國執法機構發文制裁Tornado Cash,Tornado Cash 每週的訪問款數成倍下跌,但因為Tornado Cash 的去中心化屬性,導致無法從源頭制止,依舊還是有資金不斷湧入該系統進行混幣。
Lazarus Group(朝鮮APT 組織)洗錢模式分析
國家級APT(Advanced Persistent Threat,高級持續性威脅)組織是有國家背景支持的頂尖黑客團夥,專門針對特定目標進行長期的持續性網絡攻擊。朝鮮APT 組織Lazarus Group 是非常活躍的一個APT 團夥,其攻擊目的主要以竊取資金為主,堪稱全球金融機構的最大威脅,近年來多起加密貨幣領域的攻擊和資金竊取案件就是他們所為。
目前已明確統計到的Lazarus 攻擊加密領域的安全事件和損失如下:
超過30 億美元的資金在網路攻擊中被Lazarus 盜取,據悉,Lazarus 駭客組織背後有著北韓戰略利益的支撐,為北韓的核彈、彈道飛彈計畫提供資金。為此,美國宣布懸賞500 萬美元,對Lazarus 駭客組織進行製裁。美國財政部也已將相關地址添加到OFAC 特別指定國民(SDN)名單中,禁止美國個人、實體和相關地址進行交易,以確保國家資助的集團無法兌現這些資金,以此進行製裁。以太坊開發商Virgil Griffith 因幫助朝鮮使用虛擬貨幣逃避制裁而被判處五年零三個月的監禁, 2023 年OFAC 也制裁了三名與Lazarus Group 相關人員,其中兩名被制裁者Cheng Hung Man 和Wu Huihui 是為Lazarus 提供加密貨幣交易便利的場外交易(OTC) 交易員,而第三人Sim Hyon Sop 提供了其他財務支持。
儘管如此,Lazarus 已完成了超10 億美元的資產轉移和清洗,他們的洗錢模式分析如下。以Atomic Wallet 事件為例,在移除駭客設定的技術性因素後(大量的假代幣轉帳交易+多重地址分帳),可以得到駭客的資金轉移模式:
圖:Atomic Wallet 受害者1 資金轉移視圖
受害者1 地址0xb02d...c6072向黑客地址0x3916...6340轉移304.36 ETH,經由中間地址0x0159...7b70進行8 次分帳後,歸納至地址0x69ca...5324。此後將歸集資金轉移至地址0x514c...58f67,目前資金仍在該地址中,地址ETH 餘額為692.74 ETH(價值127 萬美元)。
圖:Atomic Wallet 受害者2 資金轉移視圖
受害者2 地址0x0b45...d662向黑客地址0xf0f7...79b3轉移126.6 萬USDT,黑客將其分成三筆,其中兩筆轉移至Uniswap,轉賬總額為126.6 萬USDT;另一筆向地址0x49ce. . .80fb進行轉移,轉移金額為672.71 ETH。受害者2 向黑客地址0x0d5a...08c2轉移2.2 萬USDT,黑客通過中間地址0xec13...02d6等進行多次分賬,直接或間接將資金歸集至地址0x3c2e...94a8。
這種洗錢模式與先前的Ronin Network、Harmony 攻擊事件中的洗錢模式高度一致,均包含三個步驟:
(1)被竊資金整理兌換:發動攻擊後整理原始被盜代幣,透過dex 等方式將多種代幣swap 成ETH。這是規避資金凍結的常用方式。
(2)被竊資金歸集:將整理好的ETH 歸集到數個一次性錢包地址。 Ronin 事件中黑客一共用了9 個這樣的地址,Harmony 使用了14 個,Atomic Wallet 事件使用了近30 個地址。
(3)被盜資金轉出:使用歸集地址透過Tornado.Cash 將錢洗出。這便完成了全部的資金轉移過程。
除了具備相同的洗錢步驟,在洗錢的細節上也有高度的一致性:
(1)攻擊者非常有耐心,均使用了長達一週的時間進行洗錢操作,均在事件發生幾天后開始後續洗錢動作。
(2)洗錢流程中均採用了自動化交易,大部分資金歸集的動作交易筆數多,時間間隔小,模式統一。
通過分析,我們認為Lazarus 的洗錢模式通常如下:
(1)多賬號分帳、小額多筆轉移資產,提高追蹤難度。
(2)開始製造大量假幣交易,提高追蹤難度。以Atomic Wallet 事件為例, 27 個中間地址中有23 個帳戶均為假幣轉移地址,近期在對Stake.com 的事件分析中也發現採用類似技術,但之前的Ronin Network、Harmony 事件並沒有這種票證技術,說明Lazarus 的洗錢技術也在升級。
(3)更多的採用鏈上方式(如Tonado Cash)進行混幣,早期的事件中Lazarus 經常使用中心化交易所獲得啟動資金或進行後續的OTC,但近期越來越少的使用中心化交易所,甚至可以認為是盡量在避免使用中心化交易所,這與近期的幾起制裁事件應該有關。
六、制裁與監管
美國財政部外國資產管制辦公室(OFAC) 等機構以及其他國家的類似機構透過針對被視為對國家安全和外交政策構成威脅的國家、政權、個人和實體實施制裁。傳統上,制裁的執行依賴於主流金融機構的合作,但一些不良行為者已轉向加密貨幣來規避這些第三方中介機構,這給政策制定者和製裁機構帶來了新的挑戰。然而,加密貨幣固有的透明度,以及合規加密貨幣服務的意願,特別是許多充當加密貨幣和法定貨幣之間紐帶的中心化交易所,已經證明,在加密貨幣世界中實施制裁是可能的。
以下是2023 年在美國受到製裁的部分個人或實體與加密貨幣有聯繫的實體的情況,以及OFAC 制裁的原因。
全球最大穩定幣背後的公司Tether 於2023 年12 月9 日宣布,將「凍結」美國外國資產管制辦公室(OFAC)受制裁個人名單上受制裁個人錢包中的代幣。 Tether 在其公告中將此舉視為自願步驟,以「主動防止任何潛在的Tether 代幣濫用並加強安全措施」。
這也顯示對加密貨幣犯罪進行偵查和製裁已進入實質階段,核心企業與執法機構合作,能形成有效的製裁手段,監管和懲治加密貨幣犯罪。
2023 年的Web3監管方面,香港也取得了巨大的進展,正吹響「合規發展」Web3與加密市場的號角。當新加坡金融管理局從2022 年開始限制零售客戶使用槓桿或信貸進行加密貨幣交易時,香港特區政府在發表《有關虛擬資產在港發展的政策宣言》,一些Web3人才和公司去往新的應許之地。
2023 年6 月1 日,香港兌現宣言,發布《適用於虛擬資產交易平台運營者的指引》,虛擬資產交易平台牌照制度正式實施,並已發布了第1 類(證券交易)和第7 類(提供自動化交易服務)牌照。
目前,OKX、BGE、HKbitEX、HKVAX、VDX、Meex、PantherTrade、VAEX、Accumulus、DFX Labs 等機構正在積極申請虛擬資產交易平台牌照(VASP)。
特首李家超、財政司司長陳茂波等代表港府頻繁發聲,支持Web3落地香港,吸引各地加密企業、人才前去建設。政策扶植方面,香港引進虛擬資產服務提供者發牌制度,允許散戶交易加密貨幣,啟動千萬美元規模的Web3 Hub 生態基金,併計劃投入超7 億港元加快發展數碼經濟,推動虛擬資產產業發展,也成立了Web3.0 發展專責小組。
但,而高歌猛進之時,風險事件也乘勢而來。無牌加密交易所JPEX 涉案逾10 億港元,HOUNAX 詐騙案涉案金額過億元,HongKongDAO 及BitCuped 涉嫌虛擬資產詐騙行為…這些惡性事件引起了香港證監會、警方等高度重視。香港證監會表示,將與警方制定虛擬資產個案風險評估準則,每週進行資訊交流。
相信,在不久的將來,更完善的監管和安全體係將助力香港,香港作為東西方金融重要樞紐,正對Web3張開懷抱。
About us
SharkTeam 的願景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成,精通區塊鍊和智慧合約底層理論。提供包括鏈上大數據分析、鏈上風險預警、智能合約審計、加密資產追討等服務,並打造了鏈上智能風險識別平台ChainAegis,平台支援無限層級的深度圖分析,能有效對抗Web3世界的進階持續性威脅(Advanced Persistent Threat,APT)。已與Web3生態各領域的關鍵參與者,如Polkadot、Moonbeam、Polygon、Sui、OKX、imToken、ChainIDE 等建立長期合作關係。
Twitter:https://twitter.com/sharkteamorg
Discord:https://discord.gg/jGH9xXCjDZ
Telegram:https://t.me/sharkteamorg
