非法资金流动案例研究：55M 网络钓鱼

案件背景

2024 年 8 月 20 日，一笔钓鱼交易牟利超过 5400 万稳定代币 DAI。被引流的地址是一个由 Gemini 资助的 vault ，相关的"Maker Vault Owner "地址是 0xf2b8。网络钓鱼者诱使受害者（金库的原所有者）签署交易，将金库所有者更改为网络钓鱼者控制的地址，然后执行交易，将金库的资金抽走。

钓鱼地址：0x0000db5c8b030ae20308ac975898e09741e70000
消耗保险库的地址：0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
Transactions changing the Owner: 0x2805, 0xb721
耗尽交易：0xf700

资金流分析

2024 年 8 月 20 日，受害者保险库的原所有者受骗签署了一份交易，将保险库所有者变更为钓鱼者控制的地址。大约五小时后，钓鱼者又发送了一笔交易，进一步将所有者更改为新的地址。在新地址完全控制金库 20 分钟后，它签署了一份交易，从金库中抽走了 5,500 万 DAI。

然后，在两个小时内，所有非法获得的 DAI 代币都被转移到了由钓鱼者控制的下游地址，而最初的地址则没有留下任何东西，金库的资金被抽干。共有六个下游地址直接连接到地址 0x5D4b（即与初始地址相隔一跳）。大部分 DAI 代币（4400 万个）直接转移到下游地址，1000 万个代币被交换为原生代币（3880 个）ETH，然后转移到地址 0x8cc5。交换使用的 DEX 是CoW 协议：GPv2Settlement。交换交易：0x7c63.

从原始地址 0x5D4b 到 1 跳下游地址的虹吸 DAI 资金流图。

将非法资金转移到 1 跳下游地址后，攻击者开始进一步将资金分批转移到更深的地址。在转移过程中，钓鱼者逐渐将下游地址持有的 DAI 换成 ETH。在距离初始地址 4 跳的下游地址，所有被盗 DAI 都已被换成了 ETH。这些以 ETH 形式存在的非法资产随后流入集中式交易所（eXch、KuCoin、ChangeNOW）和跨链桥接器（THORChain、Hop Protocol）。(点击名称查看这些套现地址。）向 eXch 存入非法所得的交易实例：0x2e42, 0xa982, 0x1e1e, 0xb7a9.Examples of transactions moving illicit gains to THORChain: 0x5c06, 0xf824, 0x391e.

部分资金从第 2 层地址（距离初始地址 2 跳）流向第 5 层地址：

在非法所得向深下游地址的转移中，最长的转移路径达到 12 跳，约 8 万美元被转移到交易所KuCoin 17。如下资金流图所示，在 2024 年 8 月 21 日至 8 月 22 日期间，攻击者通过 12 跳的路径向中心化交易所逐步转移了 38 个 ETH。

为了避免大额转账引起过多关注，犯罪者倾向于将大额资金拆分到多个地址，并利用小额转账将资产转移到更深的地址。将 165 万 DAI 拆分成 36 小块，由 1 跳地址 0x860c 处理的示例：

一些相关地址和交易

资金流概览：

Explore details in MetaSleuth: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595.