SharkTeam:2023年第三季度Web3安全报告

  • SharkTeam
  • 更新于 2023-10-19 18:47
  • 阅读 2277

一、概述全球数字化浪潮正迎来飞速发展,而区块链技术也正逐成为数字经济不可或缺的核心基础设施之一。然而,随着区块链应用场景不断扩展,这一领域所面临的安全挑战也愈发显著。在这一大背景下,深入了解Web3区块链的安全状况以及加密行业的监管政策,已经成为确保区块链应用安全和稳定运行的关键举措之一。本报

一、概述

全球数字化浪潮正迎来飞速发展,而区块链技术也正逐成为数字经济不可或缺的核心基础设施之一。然而,随着区块链应用场景不断扩展,这一领域所面临的安全挑战也愈发显著。

在这一大背景下,深入了解Web3区块链的安全状况以及加密行业的监管政策,已经成为确保区块链应用安全和稳定运行的关键举措之一。

本报告旨在对全球2023年第三季度区块链安全状况、Web3领域热门事件以及加密行业关键监管政策进行整理分析。我们期望这份报告为读者提供有益的信息和新思路,为促进区块链技术的安全健康发展贡献一份力量。

二、安全事件分析

根据SharkTeam链上安全分析平台ChainAegis数据,2023年第三季度Web3领域共发生了超过360起安全事件(如图1),损失金额累计超过7.39亿美元(如图2),与去年同期相比,安全事件发生频率大幅提升,激增113%,并且损失金额也有47%的增长。此外,

图1:Web3安全事件每季度发生总个数及同比。

与本年度前两个季度相比,Q3安全事件呈现高发态势,损失金额也高出将近2倍。截至第三季度,2023年全年总共发生775起安全事件,较去年同期上涨82%,累计损失金额不及去年,达到13.7亿美元,同比下降46%。

图2:Web3安全事件每季度总损失金额及同比。

Q3季度安全事件损失金额激增的原因是黑客攻击高频发且单个事件损失金额大。Q3黑客攻击事件发生91起,环比Q2提升72%,其损失金额达到4.62亿美元,相对Q2(2,360万)环比上涨1,858%,成为本季度中,损失金额最高的攻击手段,占比达到63%(如图3)。此外,Rug Pull在本季度总共发生66起,较Q2略有上升,损失金额却下滑6%,达到5,220万美元,占整个Q3损失金额的7%。钓鱼攻击和其他攻击,包括骗局、庞氏骗局等在Q3总共发生116起,较Q2有所减少,不完全统计的损失金额较Q2微涨,损失份额达到30%。SharkTeam在此提醒项目方要重视对合约的审计,以免造成不必要的损失。

图3:每个季度不同攻击类型的安全事件发生个数和损失金额及环比。

将Q3分月来看(如图4),7月和9月的损失最为严重,超过3.4亿美元,远高于8月(5,300万美元)。其中7月发生事件187起,是9月(82)的2倍多,可见9月单次安全事件的损失金额最高。造成7月损失严重的攻击手段是黑客攻击,总共发生30起黑客攻击,造成3.36亿美元的损失。与此同时,7月钓鱼攻击也呈现高发状态,总共发生58起钓鱼攻击,是8月和9月的2倍多。8月Rug Pull和黑客攻击事件发生最多,均发生28起,其中Rug Pull产生更高的损失,损失金额高达3700万美元,占整个8月损失的69%。9月期间项目JPEG通过高额提款费用的设定,限制用户提款的方式,受害者损失金额最终高达1.94亿美元,是9月损失金额大的主要原因。

图4:7月至9月不同攻击类型的安全事件发生个数和损失金额分布图。

2.1 黑客攻击

黑客攻击分成两大类,一类是合约攻击,另一类包括私钥泄露,钱包盗取等。合约攻击损失严重事件主要发生在7月和8月,而其他攻击损失严重事件主要发生在7月和9月(如图5)。

7月期间30起黑客攻击中,20起是由合约漏洞相关利用手段导致,造成1.07亿美元的损失。另外10起非合约攻击造成更严重的损失,损失金额高达2.29亿美元,单笔攻击损失金额是合约攻击损失的四倍多,并且该损失金额占整个7月总损失的66%(如图5)。根据图6所示,7月总共发生3起大额资金损失事件。首先,Multichain被攻击,损失约1.3亿美元,大量代币通过Fantom网络从Multichain被取出,目前还在调查中。另外,Estonian支付服务商CoinsPaid和加密货币支付服务商Alphapo在7月份相继因钱包被盗分别造成3,730万美元和6,000万美元的损失。

9月非合约攻击的事件共24起,占约9月安全事件总数的1/3,并造成1.10亿美元的损失(如图5)。如图6所示,加密货币交易所 CoinEx因私钥泄露,引起大约5,600万美元损失Stake.com平台授权ETH、Polygon和BNB Chain区块链交易的服务被攻击,损失达到2,560万美元。根据ChainAegis分析,这两起事件和7月Alphapo事件均与朝鲜黑客组织 Lazarus Group有关。并且美国联邦调查局(FBI)证实了这一点,表示Lazarus Group要对此负责。另外在9月份损失较为严重的事件是HTX钱包遭到入侵,造成了790万美元的损失。

图5:7月至9月不同黑客攻击事件份额和损失金额占比。

图6:7月至9月其他黑客攻击(非合约)中损失金额TOP20的事件分布图。

合约攻击安全事件类型呈现多样性,黑客攻击手段花哨,攻击方法层出不穷。特别是7月,合约攻击方式最多,且损失金额最高。7月总共发生5种典型的合约攻击事件(如图7),分别是闪电贷、合约漏洞、重入攻击、价格操控和vyper漏洞。其中Curve Finance和Alchemix均受vyper漏洞影响(如图8),分别损失7,350万美元和700万美元,占7月总损失的23%。另外,重入攻击和闪电贷攻击在7月引起较为严重的损失。NFT借贷平台JPEG’d和Coinc Finance均遭到重入攻击,分别损失1,000万美元和320万美元(如图8),占取7月总损失份额的13%(如图7)。

八月共发生8起合约攻击,损失金额达到1,230万美元,损失占比达到23%(如图7)。Defi贷款协议Exactly Protocol 因未检查输入数据,导致损失730万美元,损失最大。其次是Balancer受到闪电贷攻击,损失210万美元。损失金额排名第三的是Cypher交易所因合约漏洞被攻击者盗取约100万美元资金(如图8)。

图7:7月至9月黑客合约攻击中不同攻击手段损失金额及当月占比情况。

图8:7月至9月合约攻击事件损失金额TOP20分布图。

据ChainAegis分析,对Q3合约攻击事件分月统计(如图9)。7月和8月主要是Ethereum链上发生的合约攻击事件,且损失最多,而9月则聚焦在BNB Chain上,Ethereum链损失降为最少。7月份Ethereum链上共发生主要攻击事件12起,损失金额约为1.2亿美元,损失金额排名以Curve Finance、JPEG‘d、Alchemix事件为首。BNB Chain上监测到7起攻击事件,损失金额约为480万美元,主要是BNO和Palmswap受到闪电贷攻击导致。8月除了主流链Ethereum和BNB Chain发生事件为主,Solana链上Cypher受合约漏洞影响被黑客攻击,损失100万美元。同样地,在9月Arbitrum链上GMBL COMPUTER也因合约漏洞导致80万美元损失。

图9:7月至9月合约攻击类型中不同链上安全事件发生个数和损失金额汇总

综上所述,建议项目方寻找富有经验且专业的审计公司进行审计。合约漏洞、逻辑漏洞在合约安全审计阶段是可以被发现的,审计一定程度上可以减少因合约漏洞造成的损失。黑客攻击事件在Q3涉及金额大,影响用户众多。建议项目方及时公布调查结果,采取必要的修复措施,进行资金追讨等,对用户资产安全肩负起责任。

2.2 Rug Pull

根据下图(图10)展示,项目方Rug Pull事件8月发生频率最高,共27起,损失金额最大,达到3,600万美元。7月相对最少,共12起,损失金额约为1,100万美元,故7月平均每起事件发生损失金额最高。9月总共发生26起,损失金额最少,约为400万美元。事件发生集中在主流链Ethereum和BNB Chain。根据ChainAegis分析,BNB Chain 项目Rug Pull事件发生频率高于Ethereum,且逐月增长,9月BNB Chain Rug Pull事件上涨至17起。

除此之外,8月除了主流链发生Rug Pull,其他链,如Base、Linea等发生3起损失金额极高的Rug Pull事件(图11)。Base链上一种名为BALD的MEME币短期内获得2560万美元收入,随后短期内清空了流动性池,价格迅速下跌90%左右。Base链上Magnate Finance部署者在8月清楚了链上所有资产,约为640万美元,并且资金从Base已经交叉链接到ETH、Arbitrum和OP。贷款协议 SwirlLend 团队从 Base 窃取了大约290万美元的加密货币,并且从 Linea 窃取了价值170万美元的加密货币,均与 Ethereum 交叉链接。到目前为止,部署人员已经将254.2 ETH(约合50万美元) 转移到Tornado Cash。

图10:7月至9月不同链上Rug Pull发生个数和损失金额及当月占比。

图11:7月至9月Rug Pull事件中损失金额TOP5分布及链上分布情况。

2.3 钓鱼攻击

据统计,钓鱼攻击事件发生频率逐月递减。攻击手段主要可以分成钓鱼链接,以及Twitter攻击和Discord攻击。社媒平台被攻击的占比有所提升,从7月份的21%提升到9月份的37%。

图12:7月至9月钓鱼攻击类型分布图。

三、典型案例分析

3.1 Rugpull工厂黑色产业链分析

近期发生了多起Rug Pull事件,SharkTeam安全研究团队对这些事件进行了详细分析。在分析过程中,我们发现BNB Chain上的Rugpull工厂合约在过去一个月内已经发起了70多次Rugpull。接下来,我们将从资金溯源、欺诈行为模式等方面进行分析。

鉴于篇幅所限,我们将主要分析SEI、X、TIP和Blue几个代币事件。这些代币都是由代币工厂合约0xDC4397ffb9F2C9119ED9c32E42E3588bbD377696进行createToken操作创建的。

在createToken函数中,创建代币时需要传入以下参数:代币名称、代币符号、精度、供应量、代币所有者地址、创建代币对的工厂合约地址以及BUSD-T稳定币地址。其中,创建代币对的工厂合约使用了PancakeSwap的工厂合约,并且每个代币都有不同的所有者地址。

让我们一起看看SEI、X、TIP和Blue几个代币的Rugpull工厂欺诈行为模式。

(1)SEI

首先,SEI代币所有者0x0a8310eca430beb13a8d1b42a03b3521326e4a58以1 u的价格兑换了249枚SEI。

然后, 0x6f9963448071b88FB23Fd9971d24A87e5244451A进行了批量买入和卖出操作。在买入和卖出操作下,代币的流动性明显增加,价格也发生了上涨。

通过钓鱼等方式宣传,诱惑大量用户购买,随着流动性增加,代币价格翻倍。

代币的价格达到一定的数值时,代币所有者进场sell操作进行Rugpull。可以从下图看出,进场收割时间段和价格都不同。

(2)X、TIP、Blue

首先X、TIP和Blue代币所有者0x44A028Dae3680697795A8d50960c8C155cBc0D74用1 u兑换了相应的代币。然后,和Sei代币一样。0x6f9963448071b88FB23Fd9971d24A87e5244451A批量的买入和卖出操作。在买入和卖出操作下,流动性明显增加,价格上涨。

然后通过钓鱼等一些途径宣传,诱惑大量的用户进行购买,随着流动性增加,代币价格也翻倍。

和SEI一样,代币的价格达到一定的数值时,代币所有者进场sell操作进行Rugpull。可以从下图看出,进场收割时间段和价格都不同。

SEI、X、TIP和Blue几个代币的波动图如下:

我们从资金溯源、行为模式中可以得知:

在资金溯源内容中,代币工厂的创建者和代币创建者的资金来自多个EOA账户。不同账户之间也有资金往来,其中一些通过钓鱼地址转移,一些通过之前进行代币Rugpull行为获取,还有一些通过tornado cash等混币平台获得。采用多种方式进行资金转移旨在构建复杂错综的资金网络。不同地址还创建了多个代币工厂合约,并大量生产代币。。

在分析代币Rugpull行为时,我们发现地址0x6f9963448071b88FB23Fd9971d24A87e5244451A是其中一个资金来源。操作代币价格时,也采用了批量方式。地址0x072e9A13791f3a45fc6eB6AD38e6ea258C080cc3也充当了资金提供者的角色,向多个代币持有者提供相应的资金。

总而言之,这一系列行为背后有一个分工明确的Web3诈骗团伙,构成了一个黑色产业链,主要涉及热点搜集、自动发币、自动交易、虚假宣传、钓鱼攻击、Rugpull收割等环节,多发生于BNBChain。所发的Rugpull虚假代币都与行业热点事件紧密相关,具有较强的迷惑性和鼓动性。用户需时刻提高警惕,保持理性,避免不必要的损失。

3.2 典型钓鱼攻击链上资产转移分析

2023年9月7日,地址(0x13e382)遭遇钓鱼攻击,损失超2,400万美元。钓鱼黑客通过资金盗取、资金兑换和分散式地资金转移,最终损失资金中3,800ETH被相继分批次转移至Tornado.Cash、10,000ETH被转移至中间地址(0x702350),以及1078,087 DAI至今保留在中间地址(0x4F2F02)。

根据SharkTeam链上大数据分析平台 ChainAegis 的跟踪分析,我们将对典型钓鱼攻击的诈骗过程、资金转移情况以及诈骗者链上行为进行相关分析。

(1) 钓鱼欺诈过程

  • 受害者地址(0x13e382)通过‘Increase Allowance’向诈骗者地址1(0x4c10a4)授权rETH和stETH。

  • 诈骗者地址1(0x4c10a4)将受害者地址(0x13e382)账户中的9,579 stETH转账至诈骗者地址2(0x693b72),金额约1,532万美元。
  • 诈骗者地址1(0x4c10a4)将受害者地址(0x13e382)账户中的4,850 rETH转账至诈骗者地址2(0x693b72),金额约841万美元。

攻击者将盗取的stETH和rETH兑换成ETH。自2023-09-07凌晨开始,诈骗者地址2(0x693b72)分别在UniswapV2、UniswapV3、Curve平台进行多笔兑换交易,将9,579 stETH和 4,850 rETH全部兑换成ETH,兑换合计14,783.9413 ETH。

stETH兑换:

rETH兑换:

部分ETH兑换成DAI。诈骗者地址2(0x693b72)将1,000ETH通过UniswapV3平台兑换成1,635,047.761675421713685327 DAI。

诈骗者通过分散式资金转移手段,将盗用资金转移至多个中间钱包地址,合计1,635,139 DAI和13,785 ETH。其中1,785 ETH被转移至中间地址(0x4F2F02),2,000 ETH被转移至中间地址(0x2ABdC2)以及10,000 ETH被转移至中间地址(0x702350)。此外,中间地址(0x4F2F02)于次日获得1,635,139 DAI。

该地址经一层资金转移,拥有1,785 ETH和1,635,139 DAI。

(1) 分散转移资金DAI,以及小额兑换成ETH

  • 首先,诈骗者于2023-09-07日凌晨开始陆续通过10笔交易转移529,000个DAI。随后,前7笔共452,000 DAI已由中间地址转至0x4E5B2e(FixedFloat),第8笔,由中间地址转至0x6cC5F6(OKX),最后2笔共77,000 DAI由中间地址转至0xf1dA17(eXch)。

  • 其次在9月10日,通过UniswapV2将28,052 DAI兑换成17.3 ETH。

  • 经过转移后,该地址最终还剩余盗取资金1078,087 DAI未转出。

(2)ETH资金转移\

诈骗者从9月8日开始到9月11号,陆续进行18笔交易,将1,800ETH全部转移至Tornado.Cash。

该地址经一层资金转移,拥有2,000ETH。首先该地址于9月11日将2000ETH转移至中间地址(0x71C848)。

  • 随后中间地址(0x71C848)分别在9月11日和10月1日,通过两次资金转移,总计20笔交易,每笔转移100ETH,总计转移2000ETH至Tornado.Cash。

该地址经一层资金转移,拥有10,000 ETH。截至2023年10月08日,10,000 ETH仍在该地址账户中未被转移。

#

经过对诈骗者地址1(0x4c10a4)和诈骗者地址2(0x693b72)的历史交易进行分析,,发现曾有一个EOA地址(0x846317)转账1.353 ETH至诈骗者地址2(0x693b72),而该EOA地址资金来源涉及与中心化交易所KuCoin和Binance的热钱包地址。

总结: 诈骗者盗用受害地址的资金后,进行了一系列资金兑换和资金转移,如下图所示。期间总共涉及两个诈骗地址:诈骗者地址1(0x4c10a4)和诈骗者地址2(0x693b72),4个中间地址:中间地址(0x4F2F02)、中间地址(0x2ABdC2)、中间地址(0x702350)和中间地址(0x71C848)。均被ChainAegis列入黑名单地址库,并且对中间地址进行实时监测。

\ \ 3.3朝鲜APT组织Lazarus Group,攻击手法及洗钱模式

国家级APT(Advanced Persistent Threat,高级持续性威胁)组织是有国家背景支持的顶尖黑客团伙,专门针对特定目标进行长期的持续性网络攻击。朝鲜APT组织Lazarus Group就是非常活跃的一个APT团伙,其攻击目的主要以窃取资金为主,堪称全球金融机构的最大威胁,近年来多起加密货币领域的攻击和资金窃取案件就是他们所为。

据维基百科资料,Lazarus Group 成立于 2007 年,隶属于北韩人民军总参谋部侦察总局第三局旗下的 110 号研究中心,专门负责网络战。该组织分为 2 个部门,一个是大约 1700 名成员的 BlueNorOff(也称为 APT38),负责通过伪造 SWIFT 订单进行非法转账,专注于利用网络漏洞谋取经济利益或控制系统来实施金融网络犯罪,此部门针对金融机构和加密货币交易所。另一个是大约 1600 名成员的 AndAriel,以韩国为攻击目标。

已知 Lazarus Group 最早的攻击活动是 2009 年其利用 DDoS 技术来攻击韩国政府的「特洛伊行动」。而最著名的一次是 2014 年对索尼影业的攻击,原因是索尼上映关于暗杀朝鲜领导人金正恩的喜剧。

该组织旗下机构 BlueNorOff 的一次知名攻击是 2016 年的孟加拉国银行攻击案,他们试图利用 SWIFT 网络从属于孟加拉国中央银行的纽约联邦储备银行账户非法转移近 10 亿美元。在完成了几笔交易(2000 万美元追踪到斯里兰卡,8100 万美元追踪到菲律宾)后,纽约联邦储备银行以拼写错误引起的怀疑为由阻止了其余交易。

自 2017 年以来,该组织开始对加密行业进行攻击,并获利至少 10 多亿美元。

Lazarus早期多利用僵尸网络对目标进行DDos攻击;目前主要攻击手段转为鱼叉攻击、水坑攻击、供应链攻击等手法,还针对不同人员采取定向社会工程学攻击。

战术特征:

(1)使用邮件鱼叉攻击和水坑攻击

(2)攻击过程会利用系统破坏或勒索应用干扰事件的分析

(3)利用SMB协议漏洞或相关蠕虫工具实现横向移动和载荷投放

(4)攻击银行SWIFT系统实现资金盗取

技术特征:

(1)使用多种加密算法,包括RC4,AES, Spritz等标准算法,也使用XOR及自定义字符变换算法

(2)主要使用虚假构造的TLS协议,通过在SNI record中写入白域名来Bypass IDS。也使用IRC、HTTP协议

(3)通过破坏MBR、分区表或者向扇区写入垃圾数据从而破坏系统

(4)使用自删除脚本

攻击手段:

(1)鱼叉攻击:鱼叉攻击是计算机病毒术语,是黑客攻击方式之一。将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。Lazarus通常以邮件夹带恶意文档作为诱饵,常见文件格式为DOCX,后期增加了BMP格式。入侵方式主要利用恶意宏与Office常见漏洞、0day漏洞、植入RAT的手法。

(2)水坑攻击:顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”,最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。Lazarus通常针对贫穷的或欠发达地区的小规模银行金融机构使用水坑攻击,这样就可以在短时间内大范围盗取资金。2017年,Lazarus对波兰金融监管机构发动水坑攻击,在网站官方网站植入恶意的JavaScript漏洞,导致波兰多家银行被植入恶意程式。此次攻击感染了 31 个国家的 104 个组织,大多数目标是位于波兰、智利、美国、墨西哥和巴西的金融机构。

(3)社工攻击:社会工程攻击,是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。Lazarus擅长将社工技术运用到攻击周期中,无论是投递的诱饵还是身份伪装,都令受害者无法甄别,从而掉入它的陷阱中。2020年期间,Lazarus在领英网站伪装招聘加密货币工作人员并发送恶意文档,旨在获取凭证从而盗取目标加密货币。2021年,Lazarus以网络安全人员身份潜伏在Twitter中,伺机发送嵌有恶意代码的工程文件攻击同行人员。

武器库:

Lazarus使用的网络武器中包含大量定制工具,并且使用代码有很多相似之处。肯定地说,这些软件来自相同的开发人员,可以说明Lazarus背后有具有一定规模的开发团队。Lazarus拥有的攻击能力和工具包括DDoS botnets、 keyloggers、 RATs、wiper malware,使用的恶意代码包括Destover、Duuzer和 Hangman等。

下面以一起典型的Lazarus针对加密行业的鱼叉攻击为例进行分析。Lazarus通过邮件附件或链接的方式,诱导目标工作人员下载恶意压缩包,并执行压缩包中的恶意文件。

邮件末尾的“CoinbaseJobDescription”即为恶意链接并诱导用户点击,一旦点击用户就会下载恶意压缩包,并执行压缩包中的恶意文件。压缩包分为三种情况:

(1)释放加密的诱饵文件和一个带有恶意命令的LNK文件,由LNK文件下载后续载荷,后续载荷释放文件密钥和恶意脚本;

(2)释放LNK文件,LNK文件下载后续载荷,后续载荷释放诱饵文件和恶意脚本;

(3)释放带宏的OFFICE文件,由恶意宏下载后续载荷并执行。

以样本b94a13586828f8f3474f7b89755f5e7615ff946efd510a4cca350e6e1b4af440为例进行分析。该样本文件名为Ledger_Nano_S\&X_Security_Patch_Manual.zip,是一个zip压缩包,文件名中的LedgerNano是一款硬件钱包,用于保护加密资产,S和X是其型号。

该样本伪装成LedgerNano的安全补丁手册,解压后会释放一个伪装成pdf文件的快捷方式文件:

用户双击该快捷方式后,会执行命令:

该命令中,使用cmd静默执行expand程序,将msiexec.exe复制到%appdata%\pat.exe路径下,然后使用pcalua.exe打开pat.exe,从远程服务器上下载msi文件并执行。这个过程中使用了多种逃避木马检测的技术:

(1)expand.exe是系统用于解压压缩包的程序,但可以被用来进行文件复制,代替敏感的copy命令;

(2)复制并重命名msiexec.exe,以逃避对msiexec.exe的执行检测;

(3)pcalua.exe是windows程序兼容性助手,是系统的白名单程序,攻击者使用该程序调用重命名为pat.exe的msiexec.exe,访问远程服务器上的恶意msi文件,从而逃避检测。

获取到的MSI文件运行后,会执行内嵌的脚本:

该脚本为Lazarus典型的一阶段脚本,其功能包括:

(1)下载并打开正常的PDF文件从而迷惑受害者;

(2)向启动目录释放Edge.lnk文件,完成自启动;lnk文件执行的命令与样本解压后的lnk文件基本相同,也是使用pcalua.exe调用重命名后的msiexec.exe加载远程服务器上的msi文件;该文件的名称和图标都伪装为Edge浏览器,使受害者降低警惕;

(3)调用WMI命令获取进程名称列表并进行拼接,然后检查如下进程名称:

“kwsprot”:金山毒霸相关进程

“npprot”:Net ProtectorAntiVirus相关进程

“fshoster”:F-Secure相关进程

(4)如果拼接后的进程名称中存在上述字符串之一,则会使用cscript.exe执行后续脚本,否则使npprot用wscript.exe;

(5)将选定的脚本执行程序复制到%public%目录下;并且如果进程名称中存在kwsprot或npprot,会将用于执行脚本的程序重命名为icb.exe,以逃避检测;

(6)解码base64编码的后续脚本,释放到临时文件夹下,命名为RgdASRgrsF.js

(7)使用复制到%public%目录下的脚本执行程序,执行RgdASRgrsF.js

RgdASRgrsF.js是Lazarus典型的二阶段脚本,其功能非常简单,生成随机的UID后与服务器通讯,然后循环接受服务器的命令并执行;所执行的命令通常一些收集系统信息的命令:

至此攻击已经完成,黑客可以在用户电脑上获得他所需的文件或密码等敏感信息。通过对Lazarus可以发现,目前其攻击的目标行业包括政府、军队、金融、核工业、化工、医疗、航空航天、娱乐媒体和加密货币,从2017年开始加密货币行业的比重明显增大。

目前已明确统计到的Lazarus攻击加密领域的安全事件和损失如下:

超过30亿美元的资金在网络攻击中被Lazarus盗取,据悉,Lazarus 黑客组织背后有着朝鲜战略利益的支撑,为朝鲜的核弹、弹道导弹计划提供资金。为此,美国宣布悬赏500万美元,对Lazarus黑客组织进行制裁。美国财政部也已将相关地址添加到OFAC特别指定国民(SDN)名单中,禁止美国个人、实体和相关地址进行交易,以确保国家资助的集团无法兑现这些资金,以此进行制裁。以太坊开发商Virgil Griffith因帮助朝鲜使用虚拟货币逃避制裁而被判处五年零三个月的监禁,今年 OFAC 也制裁了三名与 Lazarus Group 相关人员,其中两名被制裁者 Cheng Hung Man 和 Wu Huihui 是为 Lazarus 提供加密货币交易便利的场外交易 (OTC) 交易员,而第三人 Sim Hyon Sop 提供了其他财务支持。

尽管如此,Lazarus已完成了超10亿美元的资产转移和清洗,他们的洗钱模式分析如下。以Atomic Wallet事件为例,去除黑客设置的技术干扰因素后(大量的假代币转账交易+多地址分账),可以得到黑客的资金转移模式:

图:Atomic Wallet 受害者1资金转移视图

受害者1地址0xb02d...c6072向黑客地址0x3916...6340转移304.36 ETH,通过中间地址0x0159...7b70进行8次分账后,归集至地址0x69ca...5324。此后将归集资金转移至地址0x514c...58f67,目前资金仍在该地址中,地址ETH余额为692.74 ETH(价值127万美元)。

图:Atomic Wallet 受害者2资金转移视图

受害者2地址0x0b45...d662向黑客地址0xf0f7...79b3转移126.6万USDT,黑客将其分成三笔,其中两笔转移至Uniswap,转账总额为126.6万USDT;另一笔向地址0x49ce...80fb进行转移,转移金额为672.71ETH。受害者2向黑客地址0x0d5a...08c2转移2.2万USDT,该黑客通过中间地址0xec13...02d6等进行多次分账,直接或间接将资金归集至地址0x3c2e...94a8。

这种洗钱模式与之前的Ronin Network、Harmony攻击事件中的洗钱模式高度一致,均包含三个步骤:

(1)被盗资金整理兑换:发起攻击后整理原始被盗代币,通过dex等方式将多种代币swap成ETH。这是规避资金冻结的常用方式。

(2)被盗资金归集:将整理好的ETH归集到数个一次性钱包地址中。Ronin事件中黑客一共用了9个这样的地址,Harmony使用了14个,Atomic Wallet事件使用了近30个地址。

(3)被盗资金转出:使用归集地址通过Tornado.Cash将钱洗出。这便完成了全部的资金转移过程。

除了具备相同的洗钱步骤,在洗钱的细节上也有高度的一致性:

(1)攻击者非常有耐心,均使用了长达一周的时间进行洗钱操作,均在事件发生几天后开始后续洗钱动作。

(2)洗钱流程中均采用了自动化交易,大部分资金归集的动作交易笔数多,时间间隔小,模式统一。

通过分析,我们认为Lazarus的洗钱模式通常如下:

(1)多账号分账、小额多笔转移资产,提高追踪难度。

(2)开始制造大量假币交易,提高追踪难度。以Atomic Wallet事件为例,27个中间地址中有23个账户均为假币转移地址,近期在对Stake.com的事件分析中也发现采用类似技术,但之前的Ronin Network、Harmony事件并没有这种干扰技术,说明Lazarus的洗钱技术也在升级。

(3)更多的采用链上方式(如Tonado Cash)进行混币,早期的事件中Lazarus经常使用中心化交易所获得启动资金或进行后续的OTC,但近期越来越少的使用中心化交易所,甚至可以认为是尽量在避免使用中心化交易所。

本报告旨在对全球2023年第三季度区块链安全状况、Web3领域热门事件以及加密行业关键监管政策进行整理分析。我们期望这份报告为读者提供有益的信息和新思路,为促进区块链技术的安全健康发展贡献一份力量。SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务,并打造了链上大数据分析和风险预警平台ChainAegis,平台支持无限层级的深度图分析,能有效对抗Web3世界的高级持续性盗窃(Advanced Persistent Theft,APT)风险。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、OKX、Huobi Global、imToken、ChainIDE等建立长期合作关系。

官网:https://www.sharkteam.org

Twitter:<https://twitter.com/sharkteamorg>

Telegram:<https://t.me/sharkteamorg>

Discord:<https://discord.gg/jGH9xXCjDZ>

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
SharkTeam
SharkTeam
0xC0f5...8888
SharkTeam是领先的Web3安全服务提供商,提供智能合约审计、链上分析和应急响应服务。 Web: https://www.sharkteam.org Telegram: https://t.me/sharkteamorg Twitter:https://twitter.com/sharkteamorg