北京时间3月24日凌晨,DragonEX交易所宣布其平台数字资产被盗,呼吁各方共同阻击黑客。从公告中可以了解到,BTC、ETH、EOS等20多种主流虚拟货币资产在DragonEX交易所被盗。虽然交易所官方并未公布具体金额,但初步估计交易所被盗,涉及多种货币和大量受损资产,这在整个区块链发展过程中并不多见。
PeckShield安全团队在收到DragonEX交易所的警告后,立即开始分析“黑客”攻击的全过程,还原了链条中资产转移的全路径。据PeckShield数字资产护航系统初步统计,DragonEx交易所共损失数字资产6028283美元,有929162美元数字资产流入交易所,还有5099121美元数字资产仍在黑客手中。
根据PeckShield安全人员的初步分析,黑客通过窃取exchange钱包的私钥或非法访问API服务器来批量转移数字资产的可能性很大。
黑客盗币洗钱的具体行为可以分为两个阶段:
1.盗币阶段:发生在3月24日凌晨1点至8点。黑客将BTC、ETH、EOS等20余项属于交易所的货币资产转入个人账户,完成资产转移和盗窃;
2.洗钱阶段:3月26日开始。截至目前,黑客已经将价值929,162美元的数字资产转移到各个交易所,很可能已经被抛售。剩下的5099121笔资金大部分还在攻击者的关联账户里,可能会进一步流入交易所,所以需要各方共同进行资金封锁。
peck shield安全人员通过DragonEX公布的黑客地址初步还原了BTC、ETH、EOS、TRX、USDT等主流货币的连锁转账记录,还原了被盗货币在交易所的全过程:
(主链资产被盗详细分析)
以USDT和TRON主网为例,分析“黑客”偷币的全过程:
一、02336042年3月24日上午,DragonEx的一个名为1 qbaddhtc 2k 9 WWFHCxCjVYHPVSQLSRXAJ的地址向以下六个地址转入大量USDT:
1.1p 4 CDD 9K TFG V6 wmfxboeozxosrnurrmbmn 273,597美元T;
2.1 JBO GB V7 GNQN 6 NCEI 9 ASU 71 GOB CMG 9 R1 CA 222,738 USDT;
3.14 F7 vwreusztrgcezgotauhvq 8 t5 tzxr 238,652美元T;
4.1 HAPPWDYBDW1H61SAGO萨戈kq 88 xvahvfuku 2 240971 USDT;
5.17 gqlwbxdmkep8 va Ben 2 ghvj 4vq cir6q 240,971 USDT;
6.1 b6t 6 rnvmptqkhbxsr 8 hnb 3 diyxsskomku 247,390.31777美元T;
二。上述六个地址在接收USDT后,经过多层转换,将逐步向交易所转移资产。目前,根据PeckShield研究人员的初步定位,目前USDT资产分布如下:
其中330031个USDT经过多次地址转换,最终通过1 gir 64 xdj h6 hzgh 7 TJ 5 WOB my H5 z 3 wjn和1 CDF uk 1 JK 5 csqygon 1 MDP 3 hvyepc 3流入名为1 hcvilynqhayezxgtj 9 mtgvj 1 njgquso 91的CoinBene交换地址;
25429 USDT也经过多次地址转换,最终通过1 aejpcglurmyqz 3 IPF 3 etoz wv 3 Paz jgo流入名为17 scknxo 4 cl 8 dyfwfccwu 5 ujysjm 7 ikc的KuCoin交换地址;
208127 USDT流入未知交换地址1 dub 2 yybqa 1 jjanyzvxlz 7 zioehlxtburu;
10666 USDT入住1j 3 tvzrmqfih 2r 8 FCS gab 7 afwvkh 6 wht q 6;
15282 USDT也经历了多次地址转换,最终通过了1 cnwepguyhzimeice 1 pkkshv 2 r5 B1 KC和1CNuTqmJcw。
fyWKdtuqhitUL4pewWcPJuzf 流入名为 12vCxak5xc1t6T275xbm6AJ4xsZCxkTSc5 的 BitForex 交易所地址;126,994 枚 USDT 也经过多个地址转换,最终流向 135gVHBkLUidwpd6va9eZyECGVLCek2z4y 地址;
剩余 277,790 枚 USDT 分散在多个不同的账号中。
细节过程如下:
1、03月24日DragonEX 名为TPTwvsifK6EiQ1mm6b4eEQAcammL5215g6的地址向 TJeMF6CpEDeG94UAF7d4dzjXkgrwwtDGFB地址转账1,453,956TRX;
2、 03月24日―03月26日 之间 TjeM…DGFB地址没有任何变化;
3、 03月26日 早上9 点― 10 点之间地址 TJeM...DGFB前后向6 个新地址分离03-24 收到的1,453,956TRX;同时,这6 个地址前后将所获资产全部转移至TR8T47ouBgr7V2ssDjDaz9PJ7JaPH3kwrR地址中, 经PeckShield 研究人员分析发现, TR8T...kwrR地址疑似币安交易所收款地址;
4、至此,1,453,956TRX 全部转入币安交易所。
不过,目前大部分被盗资产还控制在黑客手中,包括交易所在内的社区各方可根据黑客账户资金实时异动预警,协助安全公司进行被盗资产锁定和封堵,尽可能帮助受害用户减少数字资产损失。
总体而言,交易所黑客攻击事件事关众多用户的数字资产安全,PeckShield 安全人员呼吁各大交易所需提升平台的安全和风控能力,必要时可寻找专业第三方安全团队协助支持。
(作者:PeckShield,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)