非法资金流动案例分析：$55M DAI钓鱼事件

事件背景

2024年8月20日，以太坊上的一起钓鱼交易获利超过了5400万稳定币DAI。被抽空资金的地址是一个vault，由地址0xf2b8在2020年建立并由Gemini提供资金支持。网络钓鱼者诱骗受害者（该vault的原所有者）签名并发送了钓鱼交易，将vault的所有权更改为钓鱼者控制的地址。随后，钓鱼者然后又通过执行一笔交易将vault内的资金转出。

• 钓鱼地址（钓鱼者诱骗受害者将vault的所有权更改为该地址）: 0x0000db5c8b030ae20308ac975898e09741e70000
• 抽空vault的地址（vault资金流向该地址）: 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
• 改变vault所有权的交易: 0x2805, 0xb721
• 抽空vault的交易: 0xf700

使用 Metasleuth 进行资金流分析

2024年8月20日，受害vault的原所有者被诱骗签署了一笔交易，将vault的所有权更改为网络钓鱼者控制的一个地址。大约5小时后，网络钓鱼者又发起了一笔交易，将所有权进一步更改为一个新的地址。在新地址获得对vault的完全控制约20分钟后，该地址签署了一笔交易，将vault中的5500万DAI提取一空。

随后不到两小时，所有非法获得的DAI代币都被转移到钓鱼者控制的下游地址，最初提取非法资金的地址0x5D4b中已经不剩任何资金。一共有6个下游地址直接与地址0x5D4b相连（即与该初始地址相距一跳）。其中，大部分DAI代币（约4400万）直接被转移到更深的下游地址，而另外的1000万DAI被swap为原生代币（3880枚）ETH，并转移到地址0x8cc5。用于swap的去中心化交易协议是CoW Protocol: GPv2Settlement，对应的交易是0x7c63。

下面是从初始地址到第一层下游地址的资金转移图，包含DAI的直接流动和swap成的ETH的流动：

在将非法资金转移到第一层下游地址后，钓鱼者开始分批将资金进一步转移到更深层的洗钱地址。在转移过程中，下游地址持有的DAI被逐渐swap为ETH。当非法资金到达与初始地址相隔4跳的下游地址时，所有被盗的DAI已经完全通过各种AMM兑换成了ETH，后续的资金流动全部以ETH转移的形式呈现。最终，这些非法资金以ETH的形式流入了中心化交易所（eXch、KuCoin、ChangeNOW）和跨链桥（THORChain、Hop Protocol）（点击名称可查看这些提现地址。）以下是部分将非法收益存入eXch的交易示例：0x2e42，0xa982，0x1e1e，0xb7a9。以下是部分将非法收益转移至THORChain的交易示例：0x5c06，0xf824，0x391e

下图是部分资金从第二层洗钱地址(距离初始攻击地址两跳)到第五层洗钱地址(距离初始攻击地址五跳)的转移路径：

在将非法收益转移至深层下游地址的过程中，最长的转移路径达到了12跳，约8万美元的资金被转移至交易所KuCoin 17。如下方的资金流向图所示，在2024年8月21日至22日期间，攻击者通过12跳路径逐步将38枚ETH转移至该中心化交易所。

钓鱼者在转移资金的过程中表现出一个特点：即为了避免因大额转账而引起过多关注，他们通常会将大笔资金拆分到多个地址，再通过较小的转账金额将资产转移到更深层的地址。下面是钓鱼者将165万DAI拆分成36笔小额交易的例子，拆分由位于第一层的地址0x860c处理：

一些相关的洗钱地址和交易

使用 Metasleuth 构建的详细资金流转移图：

在 Metasleuth 中详细探索整个非法资金流动: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595