一、背景
TimeLine:
- 2022年8月2日8点,ZB.com 在官网发布公告称暂停出入金。
-
2022年8月3日15点,PeckShield在Twitter上披露,ZB.com 在ETH链上的各Token被转移,合计约4.8 Million USD。
-
直到今天(2022年8月11日),ZB.com 在官网以及推特均未给出任何回应。
那么究竟发生了什么,区区4.8 Million USD真的会击垮一个自2013年就成立的老牌交易所,我们直接去链上看看。
二、结论
通过链上的追踪与溯源,我们有了新的发现:被盗资金远远超出已披露的4.8Million, ZB.com 热钱包疑似实际被盗约 39.4Million
- ZB.com 从3月30日开始,ETH的出金热钱包疑似被攻击者长期窃取,总额共计11981.8 ETH。疑似被盗资金流向 Gate.io 交易所
- 除ETH外,ZB.com 的BTC、XRP、TRX的出金热钱包均疑似被盗,等额12.8 Million USDT。部分被盗资金流入 Huobi.com, Binance.com 以及 ChangeNow.io, SimpleSwap.io。
- BTC 合计被盗 219.1 BTC
- XRP 合计被盗 949555 XRP
- TRX 合计被盗 7054226 USDT,1939997 TRX
- PeckShield 在推特中公开的被盗事件的资金直接流入 Binance.com 以及 ChangeNow.io
下文给出此事件的详尽分析,并提供IOC威胁情报。
三、前情回顾
基于我们的地址标签系统,0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是 ZB.com 在ETH链上正在使用的出金热钱包地址。如下图所示,在8月1日和8月5日,该地址上的头寸余额的接近归零。
结合PeckShield的分析以及我们对出金热钱包地址在8月1日至8月2日所有交易的分析,0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62为攻击者的第一跳地址。该地址有以下异常特征:
- 地址第一天(次)使用,有大量资金流入。其价值等额 2224.9 ETH;
- 该地址的提币使 ZB.com 出金热钱包上在ETH链上的不同Token头寸几乎归零;
- 值得一提的是,地址在转账APE Token以及KOK Token时都出现了 GAS 用完造成交易失败的情况,因而更进一步证明了该地址为个人地址,而非交易所控制地址.
下表梳理了具体事件发生的时间线:
此外,虽然 ZB.com 已经停止了充值功能,但仍然有源源不断的资金被归集到 ZB.com 热钱包中,每天约30+ ETH。基于我们的链上资金追踪,大部分资金都来源于矿池,比如F2pool.com, Ethermine.org, Sparkpool.com, BW.com。应该为矿工将 ZB.com 给用户分配的地址作为挖矿收益的收款账号。我们在此也提醒矿工们、以及矿池避免再向 ZB.com 进行入金。
针对于8月5日热钱包地址头寸余额大幅下降,其对应一笔 730 ETH的交易0x212b6d8d8cd8a3b4d3b692482f076a563cee6ddab4de540baf438bbe989023e0。资金被转地址 0xfd6724b4b3e8eca764f0dd07ccd903ad348d70f8 中。由于该地址为 ZB.com热钱包。因而这笔交易可以理解为 ZB.com 为避免再次被盗所做出的防御措施。
四、被盗事件新线索
攻击者在8月1日的行为过于疯狂,几乎提取了 ZB.com 出金热钱包中大部分币种的所有头寸资金。比如:
- 提取2500个AAVE,出金热钱包仅剩余 25个。
- 提取8600个DYDX ,出金热钱包仅剩余 215个。
多个币种的出金热钱包头寸过低,对交易所而言是高度异常的风险信号,会有人工介入排查。因此 ZB.com 一定发现了非常重大的问题,并在8月2日关闭了 ZB.com 的充提功能。 回到本文最初问题。4.8 Million USD真的会击垮一个老牌交易所吗,导致长期无法充提吗?我们觉得 ZB.com 应该被盗取了远远更多的资金。因此,我们分析了更长时间段、更多链以及地址上的交易数据,尝试找出新的被盗线索。
4.1 ETH
当 ZB.com 的出金热钱包头寸不足时,ZB.com的多签冷钱包地址:0x6ba3FFBd026a4ec164aD477092000B9CF1e4C351 将会划拨资金。该地址在6月13日、7月5日、7月15日,7月16日,7月20日,7月28日,7月31日向 ZB.com 出金热钱包分7次,每次转账2000ETH,共14000ETH。
7月中下旬的资金划拨较为频繁。我们进一步分析了7月中下旬,ZB.com 出金热钱包在ETH币的出金行为,发现新的疑似攻击者盗币行为:
- 地址仅仅从 ZB.com 获得大额资金。
- 从 ZB.com 的出金金额具有结构化特征。结构化是指:分多次出金、每次出金金额类似。
- 攻击者进行对抗,降低出金金额,尝试绕过检测。
- 攻击者的资金流向 Gate.io, 实际上 ZB.com 与 Gate.io 的重合用户很少,出入金关联程度并不高。
以地址为例:0xf32558253b95430642245750b5AFEF606c70b1c2。该地址从7月31日 05:12 至 8月1日 14:49 收到多笔金额在 4 ETH 的结构化资金,共计 154.93 ETH。该地址历史上并未有过大额入金,并且之前与 ZB.com 也没有任何交互。
如图中地址标签所示,该地址的ETH全部转移到 Gate.io 的归集钱包中,该地址为Gate.io为用户分配的入金地址。
更进一步分析,我们发现地址0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是攻击者最先进行资金窃取的地址。该地址从2022年3月30日开始结构化出金,每天出金1、2次,至今已累计获取资金10778.71 ETH。
以下为梳理出的攻击者的盗币详情,这些地址均为 Gate.io的用户入金地址。攻击者行为具有时间上的连续性,并且结构化出金的金额从40ETH降至4ETH。
4.2 BTC
ZB.com 在BTC链上的出金热钱包地址是:1M9jBgjJKwRhrkSuoLrpeu6FnmrCdY3xWt。该地址上的BTC头寸在7月底也出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情。目前攻击者暂未对这部分资金进行清洗。
4.3 XRP
ZB.com 在XRP链上的出金热钱包地址是:rNB4ywKQ8PBQzU4YHJxX8nQjNJ5TyUVRmf。该地址上的XRP头寸在8月1日也出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情,此外,攻击者通过 Changenow.io 以及 SimpleSwap.io 两个平台完成对资金的清洗。
4.4 TRX
ZB.com 在TRX链上的出金热钱包地址是:TZCTLnJ4xE1EbqoZmXmtkQZ3UbavV9cVTd。该地址上的TRX头寸以及USDT头寸在8月1日均出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情,
从洗钱路径上看,地址 TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS ,TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg 在SunSwap 中将 USDT 换为 TRX,最终资金流向两个主流交易所:
- Huobi.com 用户入金地址:TUySMWBC61KEvafLSxnDCn8WkzJ3Rb2MRd
- Binance.com 用户入金地址:TTFSujQ2h2CJidHpjTrCWRkkyhcuqB3anL
五、IOC地址
ETH:0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62
ETH:0x67c67b5a3c4009cf849f86be37e79db3923f1055
ETH:0x2540f2aaEF8049CB74BE6d398A17DAA7E1C5EF63
ETH:0x26446C1658b036A6FA3Efb805F8fc538451D3FC2
ETH:0x0e394d3facf0ce3bd5fcce584e16e0cbac164346
ETH:0x4fd4Ca0F9B195843023467A4333e67973D959810
ETH:0xf32558253b95430642245750b5AFEF606c70b1c2
ETH:0x4f02B2AdAc2e13306A537Ff63339BB89a518A846
BTC:13brwbd7ybJRfWrFhBBCLh3yHxD1w76sEp
BTC:15AxhsJ2v7pzsHuJTJVEeSwGnY3HFMZeuS
BTC:15pxyPr5v3PkLpggqSayoy9q7inXiooX2u
BTC:18djFsGNoejE52oerWXBb1651rvLr5mEtj
BTC:1Bszb9u1PGrKRW8UuZV3wbngEWBgLK4fYN
BTC:1C2VMrJouLzEBKoReCzotJt7biZ9gB7e5x
BTC:1CMBMcM8ku4CHkyrLAFSj1GetRvdmvbTTw
BTC:1CR8vbE9aGDoTEkKcdNqyKQnBNp7fvpLNe
BTC:1JGW4xgHdPxr2NrNqFBbmb7qsAcrJh5QoW
BTC:1JcebjNvBnZLjz9Wtu9ecj3Bp1j3bdN4WT
BTC:12757MjAtoJ6Th3yFPaXYDwNaM9q4ej4zB
BTC:14BpKbfjb1ercW2SVQ68wPwYPDEi2T4yUa
BTC:15Ua2687mny7Ye97StoT3FAQJwJYf1G1mQ
BTC:1LDpSsew2qtQGHW8UDKkmjXvnKvQLF9wUW
BTC:1LpZNzDbpNxqemUZwzbYhPjuUKbTC1aNzu
BTC:bc1qe7fd5txjw47h7f4fafas6w5ztvvq7uue7g5rz2
BTC:bc1qg9gfy5jztntuq5udvtvl3qvkm0c4cddr9xew75
BTC:bc1qhhwlsgx9hsg8fx8tlqmhstascvj0f22vet98xk
BTC:bc1qm78mqe8f4w2smuctr8xwxv6hmta30a947tcpj8
BTC:bc1qf4aj092tz6w86a4lq8m02wuz2jquw3gfw854p6
BTC:bc1qz3atp7wpzjzuslkaq4j23xnjs6hw6zp0ev3n27
XRP:rpC7jq7gniqucxgEVY8YG8CruKNTQsQX8k
TRX:TTU6NSaqtA2wzmnawYMAJLGLbHqysvvqQA
TRX:TV7CC8g7DxFb9HHgRqgUEk1ZTeEmBxp4gK
TRX:TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS
TRX:TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg