X-explore

Posted on Aug 11, 2022Read on Mirror.xyz

不仅仅4.8Million, ZB.com 热钱包疑似被盗约 39.4Million

一、背景

TimeLine:

2022年8月2日8点,ZB.com 在官网发布公告称暂停出入金

那么究竟发生了什么,区区4.8 Million USD真的会击垮一个自2013年就成立的老牌交易所,我们直接去链上看看。

二、结论

通过链上的追踪与溯源,我们有了新的发现:被盗资金远远超出已披露的4.8Million, ZB.com 热钱包疑似实际被盗约 39.4Million

  1. ZB.com 从3月30日开始,ETH的出金热钱包疑似被攻击者长期窃取,总额共计11981.8 ETH。疑似被盗资金流向 Gate.io 交易所
  2. 除ETH外,ZB.com 的BTC、XRP、TRX的出金热钱包均疑似被盗,等额12.8 Million USDT。部分被盗资金流入 Huobi.com, Binance.com 以及 ChangeNow.io, SimpleSwap.io。
    1. BTC 合计被盗 219.1 BTC
    2. XRP 合计被盗 949555 XRP
    3. TRX 合计被盗 7054226 USDT,1939997 TRX
  3. PeckShield 在推特中公开的被盗事件的资金直接流入 Binance.com 以及 ChangeNow.io

下文给出此事件的详尽分析,并提供IOC威胁情报。

三、前情回顾

基于我们的地址标签系统,0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是 ZB.com 在ETH链上正在使用的出金热钱包地址。如下图所示,在8月1日和8月5日,该地址上的头寸余额的接近归零。

ZB.com 出金热钱包余额(ETH)

结合PeckShield的分析以及我们对出金热钱包地址在8月1日至8月2日所有交易的分析,0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62为攻击者的第一跳地址。该地址有以下异常特征:

  1. 地址第一天(次)使用,有大量资金流入。其价值等额 2224.9 ETH;
  2. 该地址的提币使 ZB.com 出金热钱包上在ETH链上的不同Token头寸几乎归零;
  3. 值得一提的是,地址在转账APE Token以及KOK Token时都出现了 GAS 用完造成交易失败的情况,因而更进一步证明了该地址为个人地址,而非交易所控制地址.

下表梳理了具体事件发生的时间线:

ETH 8月1日出金时间线

此外,虽然 ZB.com 已经停止了充值功能,但仍然有源源不断的资金被归集到 ZB.com 热钱包中,每天约30+ ETH。基于我们的链上资金追踪,大部分资金都来源于矿池,比如F2pool.com, Ethermine.org, Sparkpool.com, BW.com。应该为矿工将 ZB.com 给用户分配的地址作为挖矿收益的收款账号。我们在此也提醒矿工们、以及矿池避免再向 ZB.com 进行入金。

针对于8月5日热钱包地址头寸余额大幅下降,其对应一笔 730 ETH的交易0x212b6d8d8cd8a3b4d3b692482f076a563cee6ddab4de540baf438bbe989023e0。资金被转地址 0xfd6724b4b3e8eca764f0dd07ccd903ad348d70f8 中。由于该地址为 ZB.com热钱包。因而这笔交易可以理解为 ZB.com 为避免再次被盗所做出的防御措施。

四、被盗事件新线索

攻击者在8月1日的行为过于疯狂,几乎提取了 ZB.com 出金热钱包中大部分币种的所有头寸资金。比如:

  1. 提取2500个AAVE,出金热钱包仅剩余 25个。
  2. 提取8600个DYDX ,出金热钱包仅剩余 215个。

多个币种的出金热钱包头寸过低,对交易所而言是高度异常的风险信号,会有人工介入排查。因此 ZB.com 一定发现了非常重大的问题,并在8月2日关闭了 ZB.com 的充提功能。 回到本文最初问题。4.8 Million USD真的会击垮一个老牌交易所吗,导致长期无法充提吗?我们觉得 ZB.com 应该被盗取了远远更多的资金。因此,我们分析了更长时间段、更多链以及地址上的交易数据,尝试找出新的被盗线索。

4.1 ETH

当 ZB.com 的出金热钱包头寸不足时,ZB.com的多签冷钱包地址:0x6ba3FFBd026a4ec164aD477092000B9CF1e4C351 将会划拨资金。该地址在6月13日、7月5日、7月15日,7月16日,7月20日,7月28日,7月31日向 ZB.com 出金热钱包分7次,每次转账2000ETH,共14000ETH。

ZB.com 冷钱包转移资金到热钱包

7月中下旬的资金划拨较为频繁。我们进一步分析了7月中下旬,ZB.com 出金热钱包在ETH币的出金行为,发现新的疑似攻击者盗币行为:

  1. 地址仅仅从 ZB.com 获得大额资金。
  2. 从 ZB.com 的出金金额具有结构化特征。结构化是指:分多次出金、每次出金金额类似。
  3. 攻击者进行对抗,降低出金金额,尝试绕过检测。
  4. 攻击者的资金流向 Gate.io, 实际上 ZB.com 与 Gate.io 的重合用户很少,出入金关联程度并不高。

以地址为例:0xf32558253b95430642245750b5AFEF606c70b1c2。该地址从7月31日 05:12 至 8月1日 14:49 收到多笔金额在 4 ETH 的结构化资金,共计 154.93 ETH。该地址历史上并未有过大额入金,并且之前与 ZB.com 也没有任何交互。

如图中地址标签所示,该地址的ETH全部转移到 Gate.io 的归集钱包中,该地址为Gate.io为用户分配的入金地址。

0xf32558253b95430642245750b5AFEF606c70b1c2 交易记录

更进一步分析,我们发现地址0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是攻击者最先进行资金窃取的地址。该地址从2022年3月30日开始结构化出金,每天出金1、2次,至今已累计获取资金10778.71 ETH。

以下为梳理出的攻击者的盗币详情,这些地址均为 Gate.io的用户入金地址。攻击者行为具有时间上的连续性,并且结构化出金的金额从40ETH降至4ETH。

ETH 攻击者的盗币详情

4.2 BTC

ZB.com 在BTC链上的出金热钱包地址是:1M9jBgjJKwRhrkSuoLrpeu6FnmrCdY3xWt。该地址上的BTC头寸在7月底也出现了大幅下降。

BTC 头寸

以下为梳理出的疑似攻击者的盗币详情。目前攻击者暂未对这部分资金进行清洗。

BTC 盗币详情

4.3 XRP

ZB.com 在XRP链上的出金热钱包地址是:rNB4ywKQ8PBQzU4YHJxX8nQjNJ5TyUVRmf。该地址上的XRP头寸在8月1日也出现了大幅下降。

XRP 头寸

以下为梳理出的疑似攻击者的盗币详情,此外,攻击者通过 Changenow.io 以及 SimpleSwap.io 两个平台完成对资金的清洗。

XRP 盗币

4.4 TRX

ZB.com 在TRX链上的出金热钱包地址是:TZCTLnJ4xE1EbqoZmXmtkQZ3UbavV9cVTd。该地址上的TRX头寸以及USDT头寸在8月1日均出现了大幅下降。

TRX 头寸

USDT 头寸

以下为梳理出的疑似攻击者的盗币详情,

TRX 盗币

从洗钱路径上看,地址 TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS ,TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg 在SunSwap 中将 USDT 换为 TRX,最终资金流向两个主流交易所:

  1. Huobi.com 用户入金地址:TUySMWBC61KEvafLSxnDCn8WkzJ3Rb2MRd
  2. Binance.com 用户入金地址:TTFSujQ2h2CJidHpjTrCWRkkyhcuqB3anL

五、IOC地址

ETH:0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62
ETH:0x67c67b5a3c4009cf849f86be37e79db3923f1055
ETH:0x2540f2aaEF8049CB74BE6d398A17DAA7E1C5EF63
ETH:0x26446C1658b036A6FA3Efb805F8fc538451D3FC2
ETH:0x0e394d3facf0ce3bd5fcce584e16e0cbac164346
ETH:0x4fd4Ca0F9B195843023467A4333e67973D959810
ETH:0xf32558253b95430642245750b5AFEF606c70b1c2
ETH:0x4f02B2AdAc2e13306A537Ff63339BB89a518A846
BTC:13brwbd7ybJRfWrFhBBCLh3yHxD1w76sEp
BTC:15AxhsJ2v7pzsHuJTJVEeSwGnY3HFMZeuS
BTC:15pxyPr5v3PkLpggqSayoy9q7inXiooX2u
BTC:18djFsGNoejE52oerWXBb1651rvLr5mEtj
BTC:1Bszb9u1PGrKRW8UuZV3wbngEWBgLK4fYN
BTC:1C2VMrJouLzEBKoReCzotJt7biZ9gB7e5x
BTC:1CMBMcM8ku4CHkyrLAFSj1GetRvdmvbTTw
BTC:1CR8vbE9aGDoTEkKcdNqyKQnBNp7fvpLNe
BTC:1JGW4xgHdPxr2NrNqFBbmb7qsAcrJh5QoW
BTC:1JcebjNvBnZLjz9Wtu9ecj3Bp1j3bdN4WT
BTC:12757MjAtoJ6Th3yFPaXYDwNaM9q4ej4zB
BTC:14BpKbfjb1ercW2SVQ68wPwYPDEi2T4yUa
BTC:15Ua2687mny7Ye97StoT3FAQJwJYf1G1mQ
BTC:1LDpSsew2qtQGHW8UDKkmjXvnKvQLF9wUW
BTC:1LpZNzDbpNxqemUZwzbYhPjuUKbTC1aNzu
BTC:bc1qe7fd5txjw47h7f4fafas6w5ztvvq7uue7g5rz2
BTC:bc1qg9gfy5jztntuq5udvtvl3qvkm0c4cddr9xew75
BTC:bc1qhhwlsgx9hsg8fx8tlqmhstascvj0f22vet98xk
BTC:bc1qm78mqe8f4w2smuctr8xwxv6hmta30a947tcpj8
BTC:bc1qf4aj092tz6w86a4lq8m02wuz2jquw3gfw854p6
BTC:bc1qz3atp7wpzjzuslkaq4j23xnjs6hw6zp0ev3n27
XRP:rpC7jq7gniqucxgEVY8YG8CruKNTQsQX8k
TRX:TTU6NSaqtA2wzmnawYMAJLGLbHqysvvqQA
TRX:TV7CC8g7DxFb9HHgRqgUEk1ZTeEmBxp4gK
TRX:TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS
TRX:TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg

ARWEAVE TX

xqiqdg51M8m1XkRR5Wj5K6diQI5ZcYR1BYr6awKLu30

ETHEREUM ADDRESS

0x302a3b1Eea855A56A28Fa59120c767C0CA21115b

CONTENT DIGEST

yzMBNFWSkX_O1V57q6iwgWdNZfzP1_tT9joPyQOTma8

Recommended Reading
What'up on Curve ? #180The Safe Case: Staking and RestakingDifference Between Trading Cryptocurrency And Common Stocks