Šī sērija ir MistTrack izmeklēšanas pakalpojuma gadījuma izpēte.

Pārskats

Hakeri uzbruka projektam un pārskaitīja visus nozagtos līdzekļus TornadoCash, liekot projekta pusei meklēt palīdzību no MistTrack. Mēs atklājām izņemšanas adresi, kas tika iestatīta, veicot TornadoCash darījumu analīzi un atdalot līdzekļus no citiem lietotājiem. Pēc dažu dienu gaidīšanas daži no nozagtajiem līdzekļiem beidzot tika pārskaitīti uz biržu. Mēs nosūtījām ķēdē pieejamo ziņojumu uz hakera izņemšanas adresi, pieprasot atdot nozagtos līdzekļus vai pretrunā ar tiesvedību. Nozagtie līdzekļi komandai tika atgriezti deviņu stundu laikā.

MistTrack bija būtiska loma 01. gadījumā, veicot šādas darbības:

1. Nodibināt uzticību starp pusēm

2. Nozagto līdzekļu izsekošana

3. Hakera profila analīze

4. TornadoCash izņemšanas analīze

5. TornadoCash izņemšanas uzraudzība

6. Saziņa ķēdē

7. Izpildes aģentūru iesaistīšana un atbalsts, ja nepieciešams

Nozagto līdzekļu izsekošana

Pēc komandas palīdzības lūguma saņemšanas mēs nekavējoties sākām šī incidenta izmeklēšanu un analīzi.

Veicot analīzi, mēs secinājām, ka visi nozagtie līdzekļi tika pārskaitīti uz TornadoCash.

Hacker profila analīze

MistTrack hakeru profila analīze, pamatojoties uz šiem galvenajiem punktiem.

  • Gāzes maksas avots

  • Izmantotie instrumenti

  • Darbības laika skala

  • Hacker profils

  • Pirmsuzbrukuma analīze

Sākotnējais šī uzbrukuma finansējums radās no TornadoCash, kā redzat tālāk.

Lai izvairītos no atklāšanas, nozagtie līdzekļi bieži tiek apmainīti, apvienoti vai pat atmazgāti, izmantojot sarežģītas metodes. To var izdarīt ar dažādiem rīkiem, piemēram, xxSwap u.c., pirms tā tiek iemaksāta TornadoCash.

TornadoCash naudas izņemšanas analīze

Pamatojoties uz iepriekš sniegto informāciju, TornadoCash izņemšanas analīze ir atslēga, ko Case 01 spēja atrisināt.

Izņemšanas analīzes procesā tiek izmantots tālāk attēlotais rīks. Tas palīdzēja šķirot TornadoCash izņemšanas adreses, kas atbilst filtrēšanas kritērijiem.

Pēc izņemšanas adrešu saraksta iegūšanas izņemšanas adreses klasificējām pēc šādiem raksturlielumiem:

  • Aktīvais laika periods

  • Gāzes cenu sadale

  • Mijiedarbība ar līdzīgām platformām

  • Izņemšanas adreses modeļi

  • Izņemšanas summas sadalījums

Vienā no mūsu klasifikācijām mēs atklājām, ka tai ir līdzīgas īpašības:

  • Izmantotas līdzīgas platformas — xxSwap

  • Tas pats aktīvais periods, ko uzrunā hakeris

  • Atbilstoši summai, ko hakeri iemaksājuši TornadoCash

Vēl svarīgāk ir tas, ka viena no izņemšanas adresēm bija saistīta ar sākotnējā hakera adresi. Tādējādi sniedzot mums pierādījumu, ka šīs adreses bija saistītas ar hakeri.

TornadoCash izņemšanas uzraudzība

Mēs nekavējoties informējām iesaistītās puses par visām attiecīgajām TornadoCash izņemšanas adresēm un izmantojām mūsu MistTrack AML uzraudzības sistēmu, lai brīdinātu mūs par jebkādām turpmākām darbībām.

Saziņa ķēdē

Pēc dažu dienu novērošanas mēs saņēmām brīdinājumu, kurā tika informēts, ka hakeri daļu no nozagtajiem līdzekļiem ir nosūtījuši uz biržu, pārskaitot tos dažādos makos. Mēs nekavējoties sazinājāmies ar cietušo, lai apspriestu labāko rīcību. Mēs iesakām komandai sazināties ar tiesībaizsardzības iestādēm, lai saņemtu atbalstu un palīdzētu projektam nosūtīt ķēdes ziņojumu hakeram. Ziņojums: “Atmaksājiet nozagtos līdzekļus 48 stundu laikā un paturiet daļu kā atlīdzību par kļūdām, pretējā gadījumā mēs turpināsim izmeklēšanu un veiksim juridiskas darbības ar tiesībaizsardzības iestāžu palīdzību.” Visa procesa laikā mēs nodrošinājām tiesībaizsardzības iestādēm pierādījumus un nepārtraukti uzraudzījām visas iesaistītās adreses.

Rezultāts

9 stundu laikā pēc ķēdes ziņojuma nosūtīšanas hakeram lielākā daļa no komandas nozagtajiem līdzekļiem tika atgriezta.