还原资产转移全过程:DragonEX 交易所被盗 602 万美元

点此注册【火币交易所】享受更低的手续费
比特币价格未来将破10万元,快速买卖比特币  

北京时间 03 月 24 日凌晨,DragonEX 交易所发出公告称其平台数字资产被盗,并呼吁各方共同阻击『黑客』。从公告中可获悉 DragonEX 交易所上 BTC、ETH、EOS 等总共 20 余种主流虚拟货币资产均被盗取,虽交易所官方未公布具体数额,但初步估计下来,此次交易所被盗,涉及币种之多,受损资产总额之大, 在整个区块链发展过程中实属少见。

PeckShield 安全团队接收到 DragonEX 交易所预警之后,立马着手分析『黑客』攻击全过程,并对链上资产转移全路径进行还原。经 PeckShield 数字资产护航系统初步统计发现,DragonEx 交易所共损失了价值 6,028,283 美元的数字资产,且已经有价值 929,162 美元的数字资产流入了交易所,目前尚有价值5,099,121 美元的数字资产掌握在『黑客』手里。

PeckShield 安全人员初步分析认为:『黑客』大概率是通过窃取交易所钱包私钥或非法获得 API 服务器访问,进而实施数字资产批量转移。具体『黑客』实施的盗币和洗钱行为可分为两个阶段:

 

  • 盗币阶段:发生在 03 月 24 日 凌晨 1 点至早上 8 点,『黑客』将交易所所属 BTC、ETH、EOS 等20余个币种资产转移到其个人账号上,完成资产转移窃取;
  • 洗币阶段:开始于 03 月 26 日至今,截至目前,『黑客』已将价值 929,162 美元的数字资产转入了各个不同交易所,很可能已被抛售,剩余的 5,099,121 大部分资金还在攻击者的关联账号当中,存在进一步流入交易所的可能,需要各方联动共同实施资金封堵。

 

盗币时间线回顾

下表为 PeckShield 安全人员通过 DragonEX 公布的『黑客』地址,初步还原了其中 BTC、ETH、EOS、TRX、USDT 等主流币种的链上转账记录行为回放交易所被盗币的过程:

损失资产明细

各大主链资产被盗细节分析

下面以 USDT 和 TRON 主网为示例,分析『黑客』盗币全过程:

USDT 主链

下图根据交易所公布的数个 USDT 『黑客』地址,还原被盗过程:

 

  • 2019-03-24 清晨 2:42:54,DragonEx 名为 1QBaDdhCTC2k9WWFhCXCJvYHpVSqLSRxaJ 的地址向以下六个地址转账大量 USDT:

 

  1. 1P4cdD9kTFGV6wmFxbeoZXosRNUrMrMbmN 273,597 枚 USDT;
  2. 1JBoGBv7GnqN6ncEi9aSU71gobcMG9R1Ca 222,738 枚 USDT;
  3. 114F7vWREusZTRGcEZGoTAuhWvq8T5tzxR 238,652 枚 USDT;
  4. 1HapWDybdWW1H61saGokQ88xVaHvfukgu2 240,971 枚 USDT;
  5. 17gqLwmBxdmKEP8vaBEn2ghHvj4vqCiR6q 240,971 枚 USDT;
  6. 1B6t6RnVMpTQKhbXsr8hNB3DiyXSSkomkU 247,390.31777 枚 USDT;

 

  • 上述 6 个地址在接收到 USDT 之后,经过多层地地转换,逐步往交易所转移资产。目前,经过 PeckShield 研究人员初步定位当前的 USDT 资产分布如下:

 

  1. 其中 330,031 枚 USDT 经过多个地址转换,最终通过 1GirA64XdJjH6HHzgH7Tj5WoBmyH5Z3wjn 及1CdbfukQ1JsJK5csqYGonP1mDp3hVyePc3 流入名为 1HCviLYNqHAyeZxGTj9Mtgvj1NJgQuSo91的 CoinBene  交易所地址;
  2. 245,429 枚 USDT 也经过多个地址转换,最终通过 1AEJpcgLUrMyqz3iPAF3ETozwV3PaZkjGo 流入名为17ScKNXo4cL8DyfWfcCWu1uJySQuJm7iKC 的 KuCoin 交易所地址;
  3. 208,127 枚 USDT 流入一个未知的交易所地址 1DUb2YYbQA1jjaNYzVXLZ7ZioEhLXtbUru
  4. 140,666 枚 USDT 停留在 1J3tVZrmQFiH2R8fCsGab7AfWVKh6wHTQ6
  5. 135,282 枚 USDT 也经过多个地址转换,最终通过 1CNwEPguYVUhziMEiCe1PKKSHv2Ur5B1KC 及 1CNuTqmJcwfyWKdtuqhitUL4pewWcPJuzf 流入名为 12vCxak5xc1t6T275xbm6AJ4xsZCxkTSc5 的 BitForex 交易所地址;
  6. 126,994 枚 USDT 也经过多个地址转换,最终流向 135gVHBkLUidwpd6va9eZyECGVLCek2z4y 地址;
  7. 剩余 277,790 枚 USDT 分散在多个不同的账号中。

TRON 主链

下图根据交易所公布的 TRON 『黑客』地址,还原被盗过程:

细节过程如下:

 

  • 2019-03-24 DragonEX 名为 TPTwvsifK6EiQ1mm6b4eEQAcammL5215g6 的地址向 TJeMF6CpEDeG94UAF7d4dzjXkgrwwtDGFB 地址转账 1,453,956TRX;
  • 2019-03-24 — 2019-03-26 之间 TjeM…DGFB 地址没有任何动作;
  • 2019-03-26 早上 9 点 — 10 点之间,地址 TJeM...DGFB 前后向 6  个新地址分散 03-24 收到的  1,453,956TRX;同时,这 6 个地址在接收到转账之后立即向 TR8T47ouBgr7V2ssDjDaz9PJ7JaPH3kwrR 地址转移接收到的所有 TRX, 经 PeckShield 研究人员分析发现, TR8T...kwrR 地址为币安交易所收款地址;
  • 至此,1,453,956TRX 全部转入币安交易所。

 

小结

本次 DragonEX 交易所被盗安全事件中,『黑客』在短时间之内将一个交易所内几乎所有主流数字货币全部转移,之后再通过其它数字货币交易所混淆资金输入,将资金顺利洗出。

不过,目前大部分被盗资产还控制在『黑客』手中,包括交易所在内的社区各方可根据黑客账户资金实时异动预警,协助安全公司进行被盗资产锁定和封堵,尽可能帮助受害用户减少数字资产损失。

总体而言,交易所黑客攻击事件事关众多用户的数字资产安全,PeckShield 安全人员呼吁各大交易所需提升平台的安全和风控能力,必要时可寻找专业第三方安全团队协助支持。

本文由 区块链技术网 作者:答案 发表,其版权均为 区块链技术网 所有,文章内容系作者个人观点,不代表 区块链技术网 对观点赞同或支持。如需转载,请注明文章来源。

发表评论