ردیابی دنباله هک Upbit

پزشکی قانونی بلاک چین هک Upbit. ما ردیابی کردیم که چگونه هکرهای Upbit منشاء وجوه را پنهان کرده و ETH دزدیده شده را از طریق صرافی ها پول نقد می کنند.

27 مه 2020 · 4 دقیقه خواندن

مروری بر هک

در 27 نوامبر 2019، هکرها با 342000 اتر (ETH)، نزدیک به 45 میلیون دلار در آن زمان، از Upbit، یک صرافی ارز دیجیتال مستقر در کره جنوبی در یک تراکنش به سرقت رفتند. این موضوع متعاقباً توسط مدیر عامل Upbit در یک بیانیه مطبوعاتی بعد از ظهر تأیید شد.

من سئوک وو لی، مدیر عامل Dumu هستم که Upbit را اداره می کند.

اول از همه، ما برای هر گونه ناراحتی ناشی از اعضایی که از Upbit استفاده می کنند پوزش می خواهیم.

در 27 نوامبر 2019، ساعت 13:06، تا کیف پول داغ اتریوم، 342000 ETH (تقریباً 58 میلیارد وون) به کیف پول ناشناخته منتقل شد.

آدرس کیف پول ناشناخته 0xa09871AEadF4994Ca12f5c0b6056BBd1d343c029 است.

چند روز بعد، هکر مقدار زیادی از ETH را به کیف پول‌های دیگر منتقل کرد تا منشاء وجوه را پنهان کند. این موضوع توسط وب‌سایت‌های خبری ارزهای دیجیتال مانند Coindesk و Cointelegraph پوشش داده شد.

تحقیق DOJ

از آن زمان، تنظیم کننده های متعددی تحقیقاتی را در مورد این هک آغاز کرده اند. اتهامی که توسط بخش جنایی وزارت دادگستری ایالات متحده مطرح شده است، دو شهروند چینی را در این هک دخالت داده و پرونده بزرگتری از پولشویی و تبانی با هکرهای کره شمالی را کشف کرده است:

این ادعاها همچنین ادعا می کند که همدستان کره شمالی به سرقت تقریباً 48. 5 میلیون دلار ارز مجازی از یک صرافی ارز مجازی مستقر در کره جنوبی در نوامبر 2019 مرتبط هستند.

بر اساس بیانیه مطبوعاتی وزارت دادگستری، 113 حساب و آدرس ارزهای دیجیتال (هم در بیت کوین و هم در اتریوم) در ردیابی هک و پولشویی دخیل بودند.

شکایت مدنی به طور خاص از 113 حساب و آدرس ارز مجازی نام می برد که توسط متهمان و همدستان ناشناس برای پولشویی استفاده می شد. این شکایت به دنبال بازپس گیری وجوهی است که بخشی از آن قبلاً توقیف شده است.

با استفاده از الگوریتم ردیابی خود که در پست وبلاگ قبلی مستند شده بود، فعالیت‌های پس از هک را تجزیه و تحلیل کردیم و تلاش‌های مستمری را برای پنهان کردن منشأ وجوهی که شامل 50 هزار کیف پول اتریوم و 100 هزار تراکنش می‌شوند، یافتیم. علیرغم اتهامات عنوان شده، فعالیت های پیرامون کیف پول های درگیر در هک Upbit همچنان بالاست و حتی ممکن است مجدداً افزایش یافته باشد.

از محتوا لذت می برید؟

برای دریافت به‌روزرسانی در هنگام انتشار پست جدید مشترک شوید

جابجایی اولیه وجوه

بر اساس اطلاعات آدرسی که در بیانیه مطبوعاتی Upbit در دسترس است، می‌توانیم حرکت بعدی وجوه را ردیابی کنیم.

Etherscan حرکت اولیه وجوه 342000 ETH را از Upbit3 به کیف پول هکری در بلوک 9007863، هش تراکنش 0xca4e0aa223e3190ab477efb25617eff3a42af7bdb29cdb7dc9a89 می‌گیرد.

روز بعد بیشتر اترهای هک شده به سه کیف پول با برچسب Upbit Hacker 2. 1 و Upbit Hacker 2. 2 و Upbit Hacker 2. 3 منتقل شدند.

این زنجیره تراکنش تا اوایل ژانویه ادامه داشت. به عنوان مثال، Upbit Hacker 2. 1 وجوه را به Upbit Hacker 3. 1 و Upbit Hacker 3. 2 منتقل کرد که بیشتر وجوه را به کیف پول های دیگر تقسیم کرد. Etherscan دارای 815 حساب و 1374 تراکنش است که به عنوان مرتبط نزدیک با هک Upbit برچسب گذاری شده اند، که برخی از آنها به صرافی ها ختم می شوند - احتمالاً نشانه ای از این است که هکرها در تلاش بودند ETH را برای ارز فیات نقد کنند.

دنباله وجوه هک شده

فناوری ردیابی ما به ما این امکان را می دهد که همه وجوهی را که از کیف پول هک شده سرچشمه گرفته اند شناسایی کنیم. این به ما کمک می کند تا فرآیند بررسی را تسریع کنیم و کیف پول های مشکوک را به طور خودکار برچسب گذاری کنیم.

یک رویکرد خودکار برای نظارت بر تراکنش ها به ما امکان می دهد تمام کیف پول های دخیل در جابجایی وجوه هک شده را پیگیری کنیم. برای هر تراکنش، مقدار اتر مرتبط با هک Upbit را با محاسبه نسبت وجوهی که می‌توان به حساب هکر ردیابی کرد، تخمین زد.

نمونه ای از جریان وجوه از حساب هک شده اصلی (آبی) به صرافی بایننس در شکل زیر قابل مشاهده است. وجوه اغلب قبل از همگرا شدن برای بازپرداخت به چندین حساب توزیع می شود. همچنین می توان تلاش هایی برای مبهم کردن مسیر تراکنش با ارسال ETH بین کیف پول های هک مختلف مشاهده کرد.

تلاش برای شستشوی وجوه از طریق صرافی

جای تعجب نیست که مقدار زیادی از وجوه هک راه خود را به صرافی ها پیدا می کند زیرا هکرها به دنبال راه هایی برای شستشوی وجوه هستند.

هکرها با استفاده از ناشناس بودن شبه و سهولت ایجاد کیف پول های جدید ارائه شده توسط بلاک چین برای ایجاد مسیرهای تراکنش هایی که منابع واقعی وجوه را پنهان می کند، تلاش می کنند تا از بررسی های نظارتی فرار کنند.

دنباله تراکنش متحرک نشان می دهد که چگونه وجوه بین کیف پول های میانی متعددی قبل از یافتن راه خود به صرافی های متمرکز بزرگ منتقل می شود. ما فقط روی تراکنش‌هایی تمرکز کردیم که بیش از 85 درصد از وجوه Upbit را شامل می‌شود.

تجزیه و تحلیل ما نشان می دهد که هکرها در تلاشند تا از طریق چهار مبادله - Binance ، Huobi ، Okex و Bitmax - پول نقد کنند. از داده های blockchain غیرممکن است که آیا آنها در انجام این کار موفق بودند زیرا مبادلات می توانند با تنظیم کننده ها کار کنند و وجوه را در اختیار داشته باشند. در حقیقت ، شواهدی از گزارش وزارت دادگستری و توییت های مدیرعامل Binance ژائو چانگپنگ نشان می دهد که صرافی ها به صورت پیشگیرانه برای یخ زدن وجوه مرتبط تلاش می کنند.

قبل از ماه مه ، ما محاسبه کردیم که تقریباً 190،000 - 240،000 ETH هک شده به آدرس های مختلف مبادله ای رسیده اند ، جایی که آنها یا به طور ناآگاهانه توسط مبادلات از بین می روند یا احتمالاً یخ زده می شدند.

طرح حرکت وجوه هک شده در طول زمان در زیر نشان داده شده است:

تجدید فعالیت

تجدید حیات در ماه مه با تلاش برای از بین بردن وجوه هک شده مشاهده شد.

در سه هفته گذشته ، تقریباً 65،000 - 75،000 ETH هک شده به نهادهای مختلف مبادله منتقل شد. تقریباً 25،000 - 85،000 ETH باقی مانده در چندین کیف پول غیرمجاز به عنوان مثال نگهداری می شوند. 0x1543383478EE0065999A41B19991B46EBFC37ED4

خلاصه

در این مقاله روشهای پیشرفته مورد استفاده هکرهای Upbit برای شستشوی پول به سرقت رفته ، با صرافی ها نقش اساسی در اکوسیستم بازی می کنند ، که مقصد نهایی این صندوق های هک شده است.

در حالی که می دانید راه حل های مشتری شما (KYC) در صنعت برای انطباق نظارتی محبوب است ، آنها فقط یک چک اساسی را در نقطه کاربرد ارائه می دهند و باید با ابزارهای قوی تر تکمیل شوند.

تنظیم کننده ها و تیم های انطباق باید از شفافیت ارائه شده توسط blockchain استفاده کنند. یک بستر نظارت بر معامله مانند آنچه Cylynx ارائه می دهد با هدف ارائه ارزیابی ریسک جامع تر با جمع آوری اطلاعات در تمام معاملات blockchain انجام می شود. اگر علاقه مند به امتحان کردن پلتفرم ما هستید یا می خواهید ردیابی سفارشی مسیرهای معامله را انجام دهید با ما تماس بگیرید.