案例背景
2024 年 8 月 20 日,一筆釣魚交易獲利超過 5,400 萬枚穩定幣 DAI。被掏空的地址是一個由 Gemini 提供資金的 金庫 (vault),而相關聯的「Maker 金庫所有者 (Maker Vault Owner)」地址為 0xf2b8。釣魚者誘騙受害者(金庫的原始所有者)簽署了一筆 交易,將金庫所有者更改為釣魚者控制的地址,隨後執行了一筆 交易 以耗盡該金庫。
- 釣魚地址:0x0000db5c8b030ae20308ac975898e09741e70000
- 掏空金庫的地址:0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4
- 變更所有者的交易:0x2805, 0xb721
- 掏空交易:0xf700
資金流向分析
2024 年 8 月 20 日,受害金庫的 原始所有者 被誘騙簽署了一筆交易,將金庫所有者變更為釣魚者控制的 地址。約五小時後,釣魚者發送了一筆交易,進一步將所有者變更為一個新的 地址。在該新地址取得金庫完整控制權 20 分鐘後,它簽署了一筆 交易,從金庫中竊取了 5,500 萬枚 DAI。
隨後在兩小時內,所有非法獲取的 DAI 代幣都被轉移到了釣魚者控制的下游地址中,最初掏空金庫的地址已無餘額。共有六個下游地址直接連接到地址 0x5D4b(即距離初始地址一跳)。大部分 DAI 代幣(4,400 萬枚)直接轉移至下游地址,而 1,000 萬枚則被兌換為原生代幣 (3880) ETH,並轉移至地址 0x8cc5。用於兌換的去中心化交易所 (DEX) 為 CoW Protocol: GPv2Settlement。兌換交易為:0x7c63。
從初始地址 0x5D4b 到 1 跳下游地址的資金流向圖:
在將非法資金轉移到 1 跳下游地址後,攻擊者開始分批將資金進一步轉移到更深層地址。在轉移過程中,釣魚者逐漸將下游地址持有的 DAI 兌換為 ETH。在距離初始地址 4 跳的下游地址處,所有被竊取的 DAI 已完全兌換為 ETH。這些以 ETH 形式存在的非法資產隨後流入了中心化交易所(eXch, KuCoin, ChangeNOW)和跨鏈橋(THORChain, Hop Protocol)。(點擊名稱查看這些出金地址。)將非法所得存入 eXch 的交易示例:0x2e42, 0xa982, 0x1e1e, 0xb7a9。將非法所得轉移至 THORChain 的交易示例:0x5c06, 0xf824, 0x391e。
部分資金從第 2 層地址(距離初始地址 2 跳)流向第 5 層地址:
在將非法所得向下游深處地址轉移的過程中,最長的轉移路徑達到了 12 跳,約 8 萬美元被轉移至 KuCoin 17 交易所。如下圖所示,在 2024 年 8 月 21 日至 8 月 22 日期間,攻擊者通過 12 跳路徑逐漸將 38 ETH 轉移至該中心化交易所。
為了避免因大額轉帳引起過多關注,犯罪分子傾向於將巨額資金分拆至多個地址,並使用小額轉帳將資產轉移至更深層的地址。將 165 萬 DAI 分拆成 36 小筆交易,並由 1 跳地址 0x860c 處理的示例:
相關地址及交易
| 地址 | 交易 | 非法資金流向 |
|---|---|---|
| 0x860cf33bdc076f42edbc66c6fec30aa9ee99f073 | 0xa11e, 0x9ef1 | 1,650,000 DAI |
| 0xdd6397104d57533e507bd571ac88c4b24852bce9 | 0x7af2, 0x1d45 | 36,733,858 DAI |
| 0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc | 0x7e10, 0x5d08 | 3879 ETH + 1,825,000 DAI |
| 0xca6061c6e5a7c3657297f9cc45ce110dc4d14470 | 0xee0d | 875 ETH |
| 0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e | 0xf97a, 0xbc5c | 2164 ETH |
資金流向概覽:
在 MetaSleuth 中查看詳情: https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595
