一场涉及至少6000万美元的钱包被盗案，Beosin KYT带你拆穿黑客洗钱套路

此前，一场涉及几千万美元的钱包被盗案件震惊了整个行业。

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Atomic Wallet于今年6月初遭攻击，据Beosin团队统计，综合链上已知的受害人报案信息，此次攻击造成的损失至少约6000万美元。

据 CoinDesk 报道，Atomic 钱包首席执行官Konstantin Gladych 表示，团队现在正在收集受影响用户的数据，并表示「这次攻击绝对是由一支专业黑客团队组织的，他们正在使用脚本、资金拆分、混币器等手段」。

在这篇文章中，我们将深入探讨这起黑客盗窃案的资金清洗细节，并使用Beosin KYT虚拟资产反洗钱合规和分析平台，对黑客的洗钱套路进行追踪和分析。

事件综述

根据Beosin团队分析，此次被盗事件截止目前涉及的链包括BTC、ETH、TRX在内总共21条链。被盗资金主要集中在以太坊链。其中：
以太坊链已查出被盗资金为16262个ETH价值的虚拟货币，约3000万美元。

波场链波场链已知被盗资金为251335387.3208个TRX价值的虚拟货币，约1700万美元。

BTC链BTC链已知被盗资金为420.882个BTC价值的虚拟货币，折合1260万美元。

BSC链BSC链已知被盗资金为40.206266个BNB价值的虚拟货币。

其余链XRP：1676015个XRP，约84万美元LTC：2839.873689个LTC，约22万美元DOGE：800575.67369797个DOGE，约5万美元

以太坊

在黑客对赃款的操作中，以太坊被攻击链路上有两种主要的方式：

1、通过合约进行发散后利用Avalanche跨链洗钱
根据Beosin团队分析，黑客会首先将钱包中有价值的币统一换成公链的主币，再通过两个合约来进行汇集。

该合约地址会通过两层中转将ETH打包成WETH，再将WETH转入用于将ETH发散的合约，通过最高5层中转转入Avalanche 用于Cross Bridge的钱包地址中进行跨链操作，该跨链不使用合约进行，属于Avalanche的内部记账式交易类型。

以太坊链路简图如下：

汇聚合约1：0xe07e2153542eb4b768b4d73081143c90d25f1d58涉案共计3357.0201个ETH
换成WETH后转入合约0x3c3ed2597b140f31241281523952e936037cbed3销赃路线详细图如下所示：

汇聚合约2：0x7417b428f597648d1472945ff434c395cca73245涉案共计3009.8874个ETH
黑客换成WETH后转入合约0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0销赃路线详细图如下所示：

两个汇聚合约通过同意手续费来源确认，部分没有交易行为地址隐藏。手续费路径如下：

目前只发现这四个有汇集赃款行为的合约。

2、不通过合约直接发散并通过各种跨链桥协议以及交易所洗钱

这一部分目前统计涉案金额为9896 ETH，这一部分会通过多个归集地址进行归集。资金链路图如下所示：

Beosin KYT展示的ETH非合约转账资金图

波场链

波场链和以太坊链类似，通过两层地址将被盗钱包虚拟货币全部转为公链本币TRX，再向后中转。不同的是，汇集地址不再使用合约而是普通地址进行，经过分散后转入各种交易所充币地址。一部分被盗资金留在链上未转移，沉淀地址很多。

可以看到黑客洗钱渠道多，主要通过各类交易所账户进行洗钱，同时也有直接流入跨链桥合约的情况。

汇集地址主要为以下两个地址

TCSEiuNnYHJ3E1LPxAFdDd1xERWUPeUeEC涉及流水：157,401,175.7231 TRX
TL4w1Xo6PBfa41StEgpNAZWtS65HRPgrHS涉及流水：93,934,211.5977 TRX

路线模式见下图

Beosin KYT展示的波场链资金流转示例图

BTC链

BTC已知归集地址涉案资金为420.882个BTC。

BTC链涉案地址分多个汇聚地址，汇聚地址后续无资金交叉，存在大量沉淀地址。

与其他链类似，被盗钱包资金会直接转入黑客地址，再由黑客控制经一层中转转入汇聚地址并在之后进行发散。发散层数至少4层，之后会进行沉淀或混入更大流水的疑似洗钱地址。

路线模式见下图：

Beosin KYT展示的BTC资金流转示例图

BSC链

BSC链只有一个地址，目前资金在链上沉淀。 

另外35个BNB来自被盗钱包USDT兑币。

其余链地址

XRP：1676015个XRP，折合838,007美元LTC：2839.873689个LTC，折合217,789美元DOGE：800575.67369797个DOGE，折合51,194美元

上述链路模式和其他链类似，均为从钱包盗取币之后换成本币再通过一层中转进入不同的归集地址，且链上仍沉淀的地址较多。

关于本次事件的相关进展，据路透社6月中旬报道，爱沙尼亚警方表示正在调查该国 Atomic Wallet 用户加密货币被盗案件。爱沙尼亚当局表示，上周以来一直在调查这起盗窃案，调查仍处于早期阶段，且目前不会对攻击的源头发表评论。

由上述事件可以看到，近年来，网络犯罪、洗钱、暗网交易等涉及虚拟资产的犯罪屡见不鲜，区块链的去中心化、开放性、匿名性等特征给监管部门带来了巨大的挑战。

为了解决上面难题，以Beosin为代表的一众安全机构提出了一种解决思路 - KYT（Know Your Transactions），其目的是让交易平台和监管机构了解每一笔链上交易，在传统金融交易中，金融服务机构通过KYC和交易数据设计反洗钱系统。在虚拟资产交易中，交易平台可以利用KYC和KYT技术对每一笔交易的背后实体进行绑定，分析其交易行为，识别其犯罪逻辑，利用链上分析和追踪工具对每一笔交易进行定位，对用户进行画像，对交易进行评级，从而降低犯罪者利用虚拟资产洗钱的风险。

Beosin KYT产品根据用户的需求和能力的不同，构建定制化的合规解决方案。除了黑地址查询功能、制裁名单筛选功能、地址/交易风险评分功能、地址监控报警功能、追踪调查功能等能力，Beosin KYT还提供定制化风险策略管理、AI智能虚拟资产路径追踪可视化、STR报告导出等功能。目前，已为多个国家和地区的机构、交易所、钱包公司等提供服务，合作客户包括Binance、OKX、HashKey Group等。