イベントの背景
2024年8月20日、イーサ上のフィッシング取引により5400万安定コインDAI以上の利益がもたらされた。 資金流出したアドレスはvaultアドレス0xf2b8によって2020年に作成され、Geminiによって所有されていた。apac/hong-kong)が所有する資金援助であった。フィッシャーは被害者(保管庫の元の所有者)を騙し、保管庫の所有者を以下のアドレスに変更するフィッシング取引に署名させ、送信させた。フィッシング取引]()に署名させ、送信させる。その後、フィッシャーは保管庫の所有権をフィッシャーの管理下にあるアドレスに変更し、保管庫から資金を送金するトランザクションを実行する。を実行する。
- フィッシングアドレス(フィッシャーは被害者を騙してこのアドレスに保管庫の所有権を変更させる): 0x0000db5c8b030ae20308ac975898e09741e700000x0000db5c8b030ae20308ac975898e09741e70000)
- 退避した保管庫のアドレス(保管庫の資金が流れる先): 0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d40x5d4b2a02c59197eb2cae95a6df9fe27af60459d4)
- 保管庫の所有者を変更するトランザクション: 0x2805, 0xb721
- 保管庫トランザクションのパンプアウト: 0xf700
メタスルースによるマネーフロー分析
2024 年 8 月 20 日、被害保管庫の元の所有者は、保管庫の所有権をフィッシャーの管理するan address.その約5時間後、フィッシャーはさらに新しいアドレスに所有権を変更する別の取引を開始した。新しいアドレスが保管庫の完全な支配権を獲得してから約20分後、そのアドレスは保管庫の5500万DAIを次のアドレスに移転するための取引に署名した。5,500万DAIを引き出すために、このアドレスは取引に署名した。
その後2時間以内に、不正に取得されたすべてのDAIトークンはフィッシャーが管理するダウンストリームアドレスに転送され、不正資金が最初に引き出されたアドレス0x5D4bもはや資金は残っていない。合計6つのダウンストリームアドレスがアドレス0x5D4bに直接接続されている(つまり、その最初のアドレスから1ホップ離れている)。このうち、DAIトークンの大部分(約4400万)はより深いダウンストリームアドレスに直接送金され、別の1000万DAIはネイティブトークン(3880)ETHにスワップされ、アドレス0x8cc5に送金された。0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc).スワップの分散型トランザクションプロトコルはCoW Protocol: GPv2Settlementであり、対応するトランザクションは0x7c63.
以下は最初のアドレスから第 1 層のダウンストリームアドレスへの資金移動のグラフであり、DAI の直接的なフローと ETH の swap へのフローの両方が含まれている: !(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M1_662d664e5c.png)
第1層のダウンストリームアドレスに違法な資金を送金した後、フィッシャーはさらに深いマネーロンダリングアドレスに資金を一括して送金し始める。不正資金が最初のアドレスから4ホップ離れたダウンストリームアドレスに到着すると、盗まれたDAIはすべて様々なAMMを通じてETHに完全に交換されており、その後の資金の流れはすべてETHの送金という形で示される。最終的に、これらの違法な資金はETHの形で中央集権的な取引所に流れ込んだ(eXch、KuCoin)、クロスチェーンブリッジ(THORChain, Hop Protocol)(名前をクリックすると、これらの引き出しアドレスが表示されます)。以下は、eXch に違法な収益が入金された取引の例である。0x2e42, 0xa982, 0x1e1e, [0xb7a9] (https://etherscan.io/tx/0xb7a94448befb8f3ced5164c27395f071b2ad23d32847990d7b70323601ed4398).以下はTHORChainに不正な収益を送金したトランザクションの例である:0x5c06、0xf824, 0x391e
次の図は、レイヤ 2 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 2 ホップ)からレイヤ 5 のマネー・ロンダリング・アドレス(最初の攻撃アドレスから 5 ホップ)への資金の移動経路の一部を示している:
不正な収益がディープダウンストリームアドレスに転送される最長の転送経路は12ホップに達し、約80,000ドルの資金が取引所に転送されるKuCoin 170x45300136662dd4e58fc0df61e6290dffd992b785).以下の資金の流れ図に示すように、2024年8月21日から22日にかけて、攻撃者は12ホップの経路を経由して、38ETHをこの中央集権的な取引所に徐々に送金しました。
フィッシャーは資金を送金する際にある特徴を示します。つまり、多額の送金によって注目を集めすぎることを避けるため、通常は大金を複数のアドレスに分割し、より少額の送金によってより深いアドレスに資産を送金します。以下は、あるフィッシャーが165万DAIを36の小さな取引に分割した例で、分割は第1階層に位置するアドレス0x860cで処理される:
!(https://blocksec-static-resources.s3.us-east-1.amazonaws.com/assets/frontend/blocksec-strapi-online/54_M4_da01506b3b.png)
マネーロンダリングに関連するアドレスと取引
| 住所|取引|違法な資金の流れ | :----------------------------------------: | :----------------------------------------------------------: | :----------------------: | | 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073|0xa11e0xa11ebe4db723c16b275efd2cbb2d07f53c3d1931f3220d0cb8835ef869aa9ee0), 0x9ef1 | 1,650,000 DAI | 0xdd6397104461d83882c6acf4d8b710af00287ff4d079cafa913a62aac55982c) | 0xdd6397104d57533e507bd571ac88c4b24852bce9|0x7af20x7af275b3242b57a50a2ece06b9114ab4497e08b927cce50c51417c7f702e9abb), 0x1d45 | 36,733,858 DAI | | 0x8cc568f533c0639c0f93a9cbf95a8a86e51d9f172c7fa911e83e88f9ab8078 | 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc| 0x7e100x7e101dc35d6acf5068551bef00b08ff666773af3b14b46a85e4d41602718d05b), 0x5d08 | 3879 ETH + 1,825,000 DAI |. | 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH || 0x77b9f7e5a7c3657297f9cc45ce110dc4d14470 | 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e| 0xf97a0xf97a281f71a89503f031ffab006456dbd880932bfa8e20ba39784e1f98ffa17a), 0xbc5c | 2164 ETH |)
Use Metasleuthを使用して、詳細な送金フロー図を作成してください:
Metasleuthで不正な資金の流れ全体を詳細に調べる: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595
