从交易所偷走的比特币去了哪里？

前段时间，知名加密货币交易所币安（Binance）被黑，7074.18个比特币被盗。

虽然其创始人赵长鹏在多场AMA中披露了黑客盗币的一些细节，并承诺此次将使用“SAFU基金”全额承担用户损失，但此后也出现了关于“回滚交易”的争议讨论，但这 7074.18 个比特币究竟是如何被盗的？ 现在转移到哪里了？ 业内没有详细的研究和讨论。

但是这位来自国外的小哥用Google BigQuery深究了一下，发现了很多窍门。 丢失的7074.18比特币能找回来吗？ 一起往下看吧！

如何

如果你了解整个事件的经过，你可以选择跳过这一部分。

对于这场“灾难”，币安并没有对外多说什么。 虽然他们分享了有关盗窃的一些细节，但他们对更详细的细节保持沉默。

根据他们最近（5 月 10 日）的博客更新，他们正努力保持最高水平的透明度，但担心分享太多安全细节会惹恼黑客并最终削弱他们自己的安全性。

尽管如此，我仍然认为社区有必要真正了解发生了什么，所以我将在本文中深入探讨。

活动日程

以下是我们对事件发生时间的了解。

5 月 7 日世界标准时间下午 5:15，从币安热钱包中提取了 7074.18 个比特币。

世界标准时间 5 月 7 日晚上 7 点，币安因计划外维护关闭了存款和取款服务。 Cz 向用户保证资金是 SAFU，交易不会中断。

世界标准时间 5 月 7 日 11:36，币安宣布存在安全漏洞，并确认黑客能够从币安热钱包中提取 7074.18 BTC。

5 月 8 日世界标准时间下午 12:42，币安将所有现有 API 密钥限制为仅可交易，并宣布将在世界标准时间下午 1:30 删除所有现有 API 密钥。

5 月 8 日世界标准时间下午 1:30，币安删除了所有现有的 API 密钥。

这次盗窃与以前的盗窃有何相似之处？

最近和过去的攻击都涉及 Binance 的 API 和网络钓鱼。

黑客将自己伪装成值得信赖的实体，然后诱骗用户泄露敏感信息。

用于“网络钓鱼”的虚假 Binance 登录屏幕

被盗信息通常是用户 API 密钥，它允许攻击者以编程方式与交易所交互，就好像他们是用户本身一样。

Binance 上有 3 种不同级别的 API 访问权限：

当用户创建一组API密钥时，一般默认开启读取和交易权限，关闭提现权限。 由于与提取权限相关的潜在高风险，Binance 要求用户首先设置双因素身份验证和 IP 白名单。

在 SYS 和 VIA 攻击期间，攻击者大部分时间只能获得仅交易访问 API 密钥。 由于攻击者无法从只有交易权限的账户中提取资金，他们必须首先重新分配资金。

他们是这样做的：

您可以在币安交易历史中找到上述方法的证据。 在 2018 年的 API 黑客攻击中，攻击者试图通过提高 SYS 和 VIA 的价格来转移上述资金。

如下图所示，2018年7月3日和2018年3月6日，SYS/BTC和VIA/BTC价量异常。

这次有什么不同？

这一次，攻击方式有所不同。 根据币安官方说法，黑客获得了大量用户API密钥、Google Authenticator 2FA码等敏感信息。

使用 2FA 代码，黑客可以在禁用 IP 白名单的同时完全启用提取权限。 这一次，黑客不需要冒着怀疑的风险，通过提高数字货币的价格，进行多次交易，然后转移资金，让攻击变得更加容易。

为了证实这一推理，我从币安的 API 中提取了上个月的每小时交易数据。

如果使用 API 密钥来操纵交易，交易量和货币价格将出现异常飙升。

交易数据对比

我计算了黑客攻击前 30 天的每小时最大量价，还计算了黑客攻击当天的每小时最大量价。

目的是比较两者，看看在黑客攻击当天每小时的价格和交易量是否有所上涨。

体积比较

下表按攻击当天的每小时最大值 (1D_max) 与攻击前 30 天的每小时最大值 (30D_max) 之间的百分比差异排序。

交易量

可以看出，LINK/PAX 在黑客攻击当天的每小时交易量增加了 3 倍以上，但这个数字还不足以令人怀疑，特别是考虑到 link/pax 的价格并未飙升这一事实出色地。

价格对比

在黑客攻击当天，我们也只看到在最极端的情况下价格上涨了 34%。

这进一步证明黑客在此次攻击中并未操纵价格。

交易价格

虽然攻击者有可能在不注意的情况下进行交易，但我认为这是不可能的。 要在不影响价格和交易量的情况下移动 7074.18 BTC，需要很多账户，或者更确切地说，需要很长时间。

如果是这样的话，长时间的交易活动很可能会引起原账户所有者的怀疑，用户会觉得自己的资金正在慢慢耗尽。 一旦用户向币安投诉，就会给黑客带来灭顶之灾。

黑客仍然逍遥法外

比特币的大部分价值和可靠性归功于账本的不变性。 但这也意味着，一旦提现成功，被盗资金基本不可能追回。

币安证实，黑客在这一笔交易中提取了 7,074.18 个比特币。 我使用 Google BigQuery 查询与黑客相关的交易，并在下面绘制了被盗资金的动向。

圆圈代表钱包地址，线条代表被盗资金的流向。 圆圈和线宽与两个地址之间发送的比特币数量成正比。

被盗的比特币能找回吗？

据我所知，没有 Depth>4 的交易。 黑客正在“清洗”被盗的比特币并将其存储在固定地址中。

下面是一个更大的可视化图，其中标记了各个钱包地址。

在某些时候，追踪这些比特币的来源是非常不可行的，因为涉及这些被盗比特币的交易数量将呈指数增长。

目前，有3种常见的跟踪受污染数字货币的方法。

从长远来看，我认为这些方法都行不通。 将受污染的硬币标记或列入黑名单从根本上削弱了比特币的可替代性和审查阻力。 我不支持试图恢复或将被盗比特币列入黑名单的想法。

巧合的是，2019 年 1 月，黑客袭击了新西兰的虚拟货币交易所 Cryptopia，窃取了基于 ETH 的数字资产（当时价值约 1600 万美元），然后消失了。

近日，随着币价上涨，黑客在沉寂数月后开始了密集的洗钱行动。 PeckShield数字资产保驾护航系统（AML）数据显示，近两天，黑客向火币交易所转移了4787个ETH，还有26003个ETH等待洗钱。

黑客洗钱全过程一览

从上图可以看出，黑客首先将部分数字资产转移到一个地址，然后伪装成买卖双方，在去中心化交易所EtherDelta上买卖交易，试图逃避追踪，然后将资产汇集在一起再次。 然后进入火币交易所。 详情如下：

第一步：资产转移

交易所等庞大资产的安全问题往往引起无数媒体关注后，大家就会密切关注资产的流向，而此时黑客通常会沉寂数月甚至一年。 自以为是避风头后，他抓住了最好的机会，开始贩赃洗钱。

黑客估计是被市场回暖惊醒，先将5000个ETH以每笔交易1000个的形式转入新地址，并以此为起点展开一轮洗钱行动。 如果仔细看这五笔交易，你会发现它们一共相隔16个小时，每次转账后，就进入后续的伪装买卖双方的操作。 可见黑客格外谨慎，先探探，试水再说。

第二步：假装买卖

为了逃避资产追踪，黑客通常将大量资产以多笔小额交易的形式分散到大量地址，然后对每个地址进行频繁的分散和聚合。 这一次，黑客采用了一种新的方法，伪装成去中心化交易所的买卖双方，通过将交易与正常的挂单配对来试图逃避追踪。

黑客将每次收到的1000个ETH分成一批约500个ETH，进入去中心化交易所开始买卖。 从以上两张图可以发现，黑客以普通用户的方式完成资产从买家到卖家的转移，并不是仅仅通过一两笔交易，而是通过大量的交易。

假扮买家和卖家，买卖BAT和ELF代币

在下图中，可以看到黑客控制了多个账户，冒充买卖双方进行资产转移。 图为黑客交易的多笔ELF和BAT代币订单。

具体的，我们看一下去中心化交易所EtherDelta合约上买家的一条交易（trade）记录

上图中可以看到买卖双方进行了配对交易，随后卖家进行了提现操作。 链上交易记录对应截图如下：

第三步：再次收敛，进入交易所

通过去中心化交易所交接交易后比特币钱包被盗怎么办，黑客认为资产可以避免被追踪比特币钱包被盗怎么办，然后将获得的ETH聚合到一个地址，批量进入火币交易所。

至此，黑客最初的5000个ETH被分批收集后进入去中心化交易所，再转入火币。 看似天衣无缝的操作，实际上在链条上留下了很多痕迹。

白帽黑客：链上所有行为都可追踪

截至发稿，黑客共向火币交易所转移了4787个ETH，PeckShield正在协助火币交易所对涉案资金进行封锁。

目前黑客手中还有26003枚ETH，存在进一步洗钱的可能。 PeckShield 正在继续追踪黑客的下一步洗钱活动。

今年 1 月，Cryptopia 交易所遭到黑客攻击，共损失 30,790 ETH。 4个月后，当时的ETH价格也翻了一番。 黑客们觉得时机已经成熟，开始活跃起来洗钱。

整体来看，黑客此次操作还是很谨慎的，通过去中心化转账、变相交易等多种方式逃避追踪，但在区块链世界，一切链上行为都可追溯，安全性高公司更是无情。 宜章。

附：黑客主要洗钱地址：