北京时间3月24日凌晨，DragonEX交易所宣布其平台数字资产被盗，呼吁各方共同阻击黑客。从公告中可以了解到，BTC、ETH、EOS等20多种主流虚拟货币资产在DragonEX交易所被盗。虽然交易所官方并未公布具体金额，但初步估计交易所被盗，涉及多种货币和大量受损资产，这在整个区块链发展过程中并不多见。 　　

　　

　　PeckShield安全团队在收到DragonEX交易所的警告后，立即开始分析“黑客”攻击的全过程，还原了链条中资产转移的全路径。据PeckShield数字资产护航系统初步统计，DragonEx交易所共损失数字资产6028283美元，有929162美元数字资产流入交易所，还有5099121美元数字资产仍在黑客手中。 　　

　　

　　根据PeckShield安全人员的初步分析，黑客通过窃取exchange钱包的私钥或非法访问API服务器来批量转移数字资产的可能性很大。 　　

　　

　　黑客盗币洗钱的具体行为可以分为两个阶段： 　　

　　

　　1.盗币阶段：发生在3月24日凌晨1点至8点。黑客将BTC、ETH、EOS等20余项属于交易所的货币资产转入个人账户，完成资产转移和盗窃； 　　

　　

　　2.洗钱阶段：3月26日开始。截至目前，黑客已经将价值929，162美元的数字资产转移到各个交易所，很可能已经被抛售。剩下的5099121笔资金大部分还在攻击者的关联账户里，可能会进一步流入交易所，所以需要各方共同进行资金封锁。 　　

　　

　　

盗币时间线回顾：

　　

　　

　　 peck shield安全人员通过DragonEX公布的黑客地址初步还原了BTC、ETH、EOS、TRX、USDT等主流货币的连锁转账记录，还原了被盗货币在交易所的全过程： 　　

　　

损失资产明细：

　　

　　 (主链资产被盗详细分析) 　　

　　

　　以USDT和TRON主网为例，分析“黑客”偷币的全过程： 　　

　　

　　 　　

　　

USDT 主链：

　　

　　一、02336042年3月24日上午，DragonEx的一个名为1 qbaddhtc 2k 9 WWFHCxCjVYHPVSQLSRXAJ的地址向以下六个地址转入大量USDT: 　　

　　

　　1.1p 4 CDD 9K TFG V6 wmfxboeozxosrnurrmbmn 273，597美元T； 　　

　　

　　2.1 JBO GB V7 GNQN 6 NCEI 9 ASU 71 GOB CMG 9 R1 CA 222，738 USDT； 　　

　　

　　3.14 F7 vwreusztrgcezgotauhvq 8 t5 tzxr 238，652美元T； 　　

　　

　　4.1 HAPPWDYBDW1H61SAGO萨戈kq 88 xvahvfuku 2 240971 USDT； 　　

　　

　　5.17 gqlwbxdmkep8 va Ben 2 ghvj 4vq cir6q 240，971 USDT； 　　

　　

　　6.1 b6t 6 rnvmptqkhbxsr 8 hnb 3 diyxsskomku 247，390.31777美元T； 　　

　　

　　二。上述六个地址在接收USDT后，经过多层转换，将逐步向交易所转移资产。目前，根据PeckShield研究人员的初步定位，目前USDT资产分布如下： 　　

　　

　　其中330031个USDT经过多次地址转换，最终通过1 gir 64 xdj h6 hzgh 7 TJ 5 WOB my H5 z 3 wjn和1 CDF uk 1 JK 5 csqygon 1 MDP 3 hvyepc 3流入名为1 hcvilynqhayezxgtj 9 mtgvj 1 njgquso 91的CoinBene交换地址； 　　

　　

　　25429 USDT也经过多次地址转换，最终通过1 aejpcglurmyqz 3 IPF 3 etoz wv 3 Paz jgo流入名为17 scknxo 4 cl 8 dyfwfccwu 5 ujysjm 7 ikc的KuCoin交换地址； 　　

　　

　　208127 USDT流入未知交换地址1 dub 2 yybqa 1 jjanyzvxlz 7 zioehlxtburu； 　　

　　

　　10666 USDT入住1j 3 tvzrmqfih 2r 8 FCS gab 7 afwvkh 6 wht q 6； 　　

　　

　　15282 USDT也经历了多次地址转换，最终通过了1 cnwepguyhzimeice 1 pkkshv 2 r5 B1 KC和1CNuTqmJcw。 　　

fyWKdtuqhitUL4pewWcPJuzf 流入名为 12vCxak5xc1t6T275xbm6AJ4xsZCxkTSc5 的 BitForex 交易所地址；

　　

126,994 枚 USDT 也经过多个地址转换，最终流向 135gVHBkLUidwpd6va9eZyECGVLCek2z4y 地址；

　　

剩余 277,790 枚 USDT 分散在多个不同的账号中。

　　

　　

TRON 主链：

下图描述了交易所公布的TRON 地址被盗资产过程：

　　

细节过程如下：

　　

1、03月24日DragonEX 名为TPTwvsifK6EiQ1mm6b4eEQAcammL5215g6的地址向 TJeMF6CpEDeG94UAF7d4dzjXkgrwwtDGFB地址转账1,453,956TRX；

　　

2、 03月24日―03月26日 之间 TjeM…DGFB地址没有任何变化；

　　

3、 03月26日 早上9 点― 10 点之间地址 TJeM...DGFB前后向6 个新地址分离03-24 收到的1,453,956TRX；同时，这6 个地址前后将所获资产全部转移至TR8T47ouBgr7V2ssDjDaz9PJ7JaPH3kwrR地址中， 经PeckShield 研究人员分析发现， TR8T...kwrR地址疑似币安交易所收款地址；

　　

4、至此，1,453,956TRX 全部转入币安交易所。

　　

小结：

本次DragonEX交易所被盗安全事件中，黑客在短时间之内将一个交易所内几乎所有主流数字货币全部转移，之后再通过其它数字货币交易所混淆资金输入，将资金顺利洗出。

　　

不过，目前大部分被盗资产还控制在黑客手中，包括交易所在内的社区各方可根据黑客账户资金实时异动预警，协助安全公司进行被盗资产锁定和封堵，尽可能帮助受害用户减少数字资产损失。

　　

总体而言，交易所黑客攻击事件事关众多用户的数字资产安全，PeckShield 安全人员呼吁各大交易所需提升平台的安全和风控能力，必要时可寻找专业第三方安全团队协助支持。

　　

（作者：PeckShield，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）