By: Zero

本系列为 MistTrack 追踪分析案例分享。

概览

某项目被黑，被盗资金被黑客全部转移到 TornadoCash，项目方找到 MistTrack (https://misttrack.io/) 进行协助。MistTrack 针对 TornadoCash 做提款分析，协助项目方重新捕获被 TornadoCash 混淆后的被盗资金。几天后，等待黑客开始将资金转移到某交易所后，MistTrack 在建议项目方联系执法机构的同时，向黑客 TornadoCash 提款地址发送链上消息。最终在项目方发送链上消息 9 小时后，黑客将大部分被盗资金退还到项目方地址。

MistTrack 主要通过以下步骤起到关键性推进作用：

1. 和项目方相互的信任感；

2. 被盗资金追踪；

3. 黑客痕迹分析；

4. TornadoCash 提款分析；

5. 被盗资金监控；

6. 与黑客展开链上沟通博弈；

7. 必要情况下执法机构的介入支持。

下文将对案例一的 MistTrack 分析过程做详细阐述。

被盗资金追踪

收到项目方的协助请求后，MistTrack 立即开展了调查分析工作 。

在被盗资金追踪过程中，我们得出结论：被盗资金全部转入 Tornado.Cash。

被盗资金追踪

接着，MistTrack 按照调查工作流，对黑客地址进一步开展分析。

• 手续费溯源

• 使用工具

• 黑客操作时间线

• 黑客画像

• 攻击前痕迹

• ...

黑客手续费来源是 TornadoCash，这里也可以向上进行溯源分析，在此处不做进一步展开。

在资金兑换、跨链和洗钱的过程中，黑客使用到多种工具，例如 xxSwap 等，这将给后续 TornadoCash 提款分析埋下伏笔。

TornadoCash 提款分析

根据上述初步情况，MistTrack 评估案例一的突破点在 TornadoCash 提款部分，于是就此点展开深入分析。

下图是提款分析过程中使用的工具 (https://dune.com/awesome/Tornado-withdraw-analysis)，用于过滤符合筛选特征的 TornadoCash 提款地址。

获取到提款地址列表后，通过以下指标对提款地址进行分类：

• 发送存款/取款当天的时间

• Gas 价格分布

• 与相同的服务进行交互

• 提款地址行为

• 提款数额分布

在其中一个提款地址分类中，我们发现了它命中了以下特征：

• 同样使用了上文的 xxSwap

• 与黑客地址的常用操作时间重合

• 与黑客存款到 TornadoCash 的数量一致

更为重要的是，其中一个提款地址还发现了与原黑客地址相关联的痕迹。于是我们便分析出了 TornadoCash 提款地址列表。

被盗资金监控

MistTrack 分析出黑客的 TornadoCash 提款地址列表后立即同步给了项目方，并使用 MistTrack 监控模块对 TornadoCash 提款地址进行监控。项目方对 MistTrack 的推进成果表示出极大的认可。

链上沟通博弈

在监控后的几天后，MistTrack 和项目方都收到了黑客经过多层转移后转移到某交易所的邮件。MistTrack 迅速与项目方进行语音会议探讨方案。在语音会议上，MistTrack 建议项目方积极的联系执法机构获取相关支持，并引导项目方向转移到交易所的黑客地址发送链上消息：“呼吁黑客在 48 小时内退款，并保留部分资金作为漏洞赏金，否则将继续推进调查并寻求执法帮助”。MistTrack 在积极筹备跟进执法流程的同时，也继续监控着黑客地址的异动。

结果

最终在项目方发送链上消息 9 小时后，黑客将大部分被盗资金退还到项目方地址。