据侦查公司 Crystal 称,从 Liquid 交易所窃取了约 9700 万美元加密货币的黑客使用了非托管、注重隐私的 Wasabi 钱包来保护他们的部分收益。
区块链的公开数据显示,在过去两周内,被 Liquid 确认属于黑客的钱包中的比特币一直在移动。例如,8 月 29 日,一个与黑客有关的地址的 100 个比特币(价值超过 480 万美元)被拆分,发送到两个独立的地址,然后进一步拆分成更小的碎片,分发到更多的地址。
根据 Crystal 的数据,至少有一部分比特币随后被发送到据信是由 Wasabi 钱包生成的地址。
据 Crystal 称,这是黑客利用 Wasabi 进行的许多类似交易之一,可能是为了切断被盗资金与他们的犯罪历史的联系。这将是花费这些资金或以法定货币出售这些资金的必要步骤,因为中心化交易所往往会冻结那些已知来自黑客、盗窃和诈骗的资金。
据 Crystal 称,与 Liquid 黑客有关的超过 437 个比特币(价值超过 2000 万美元)已经通过 Wasabi 的 CoinJoin 功能被洗白,该过程仍在进行中。
本月早些时候,CoinDesk 跟踪了从 Liquid 流出的其他资金,发现 ETH 和 ERC20 代币被发送到基于以太坊的在线混币器 Tornado.cash 和去中心化交易所(DEXs)。
Wasabi 是一款注重隐私的桌面钱包,通过安排所谓的 CoinJoin 交易,用户可以让自己的比特币在公共账簿上更难以追踪。多个用户可以在联合交易中混合他们的比特币,使其与之前的支付历史断开连接。它还通过 Tor 网络路由交易,这进一步有助于隐藏用户的 IP 地址。
虽然 Wasabi 是一个非托管钱包,不存储用户的资金,但它会生成 CoinJoin 交易的地址,区块链分析工具已经学会了识别这些交易。去年,加密货币侦查公司 Elliptic 就这样做了,此前,跟踪来自推特黑客攻击的比特币到与 Wasabi 相关的地址。
根据 Crystal 产品总监的说法,识别这些地址比将地址归给托管加密服务更具挑战性,所以 Crystal 在他们的分析系统中“在最终标记地址之前进行了大量的双重检查”。
Wasabi did not immediately respond to a request for comment.
Wasabi 没有立即回应置评请求。
代币兑换 & 混币
据 Crystal 称,与 Liquid 黑客相关的钱包总共收到了约 1168 个比特币,其中大部分是通过在几家交易所将其他加密货币换成比特币获得的。
CoinDesk 此前报道称,黑客将窃取的 XRP 代币发送到三家交易所:Binance、Huobi 和 Poloniex。在那里,他们设法在黑客入侵后的第一天将它们兑换成比特币。Crystal 说,这些比特币后来通过 Wasabi 的 CoinJoin 地址进行了部分洗钱。
ERC20 代币已经被发送到去中心化交易所兑换成 ETH,然后发送到 Tornado.cash。一些代币还在去中心化交易 Ren 兑换为比特币,导致黑客囤积了额外的 394 个比特币。
Crystal 产品总监说:“近两周以来,黑客们一直在使用不同的方法来掩盖他们的踪迹,大量的 XRP、ETH 和 ERC20 代币要么被兑换成比特币,要么通过 Tornado 服务混币。”
另外,几十个比特币被放在多个身份不明的钱包里,暂时留在那里。
8 月 18 日,日本加密货币交易所 Liquid 遭到黑客攻击。价值约 9700 万美元的多种加密货币被盗走。交易所立即开始发布黑客入侵的最新消息,以及黑客取钱的地址。
几家交易所此前告诉 CoinDesk,它们与 Liquid 合作,标记并屏蔽了与黑客有关的地址。然而,在许多情况下,黑客都比交易所反应更快地将资金撤出。
8 月 30 日,Liquid 发布了一条更新,敦促用户生成新的存款钱包。