? ??事件背景

2024年8月20日，以太坊上的一起釣魚交易獲利超過了5400萬穩定幣DAI。被抽空資金的地址是一個vault^[1]，由地址0xf2b8^[2]在2020年建立并由Gemini^[3]提供資金支持。網絡釣魚者誘騙受害者（該vault的原所有者）簽名并發送了釣魚交易^[4]，將vault的所有權更改為釣魚者控制的地址。隨后，釣魚者然后又通過執行一筆交易^[5]將vault內的資金轉出。

?釣魚地址（釣魚者誘騙受害者將vault的所有權更改為該地址）:?0x0000db5c8b030ae20308ac975898e09741e70000^[6]?抽空vault的地址（vault資金流向該地址）:?0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4^[7]?改變vault所有權的交易:?0x2805^[8],?0xb721^[9]?抽空vault的交易:?0xf700^[10]

? ??使用MetaSleuth進行資金流分析

2024年8月20日，受害vault的原所有者^[11]被誘騙簽署了一筆交易，將vault的所有權更改為網絡釣魚者控制的一個地址^[12]。大約5小時后，網絡釣魚者又發起了一筆交易，將所有權進一步更改為一個新的地址^[13]。在新地址獲得對vault的完全控制約20分鐘后，該地址簽署了一筆交易^[14]，將vault中的5500萬DAI提取一空。

隨后不到兩小時，所有非法獲得的DAI代幣都被轉移到釣魚者控制的下游地址，最初提取非法資金的地址0x5D4b^[15]中已經不剩任何資金。一共有6個下游地址直接與地址0x5D4b^[16]相連（即與該初始地址相距一跳）。其中，大部分DAI代幣（約4400萬）直接被轉移到更深的下游地址，而另外的1000萬DAI被swap為原生代幣（3880枚）ETH，并轉移到地址0x8cc5^[17]。用于swap的去中心化交易協議是CoW Protocol: GPv2Settlement^[18]，對應的交易是0x7c63^[19]。

下面是從初始地址到第一層下游地址的資金轉移圖，包含DAI的直接流動和swap成的ETH的流動：

在將非法資金轉移到第一層下游地址后，釣魚者開始分批將資金進一步轉移到更深層的洗錢地址。在轉移過程中，下游地址持有的DAI被逐漸swap為ETH。當非法資金到達與初始地址相隔4跳的下游地址時，所有被盜的DAI已經完全通過各種AMM兌換成了ETH，后續的資金流動全部以ETH轉移的形式呈現。最終，這些非法資金以ETH的形式流入了中心化交易所（eXch^[20]、KuCoin^[21]、ChangeNOW^[22]）和跨鏈橋（THORChain^[23]、Hop Protocol^[24]）（點擊名稱可查看這些提現地址。）以下是部分將非法收益存入eXch的交易示例：0x2e42^[25]，0xa982^[26]，0x1e1e^[27]，0xb7a9^[28]。以下是部分將非法收益轉移至THORChain的交易示例：0x5c06^[29]，0xf824^[30]，0x391e^[31]

下圖是部分資金從第二層洗錢地址(距離初始攻擊地址兩跳)到第五層洗錢地址(距離初始攻擊地址五跳)的轉移路徑：

在將非法收益轉移至深層下游地址的過程中，最長的轉移路徑達到了12跳，約8萬美元的資金被轉移至交易所KuCoin 17^[32]。如下方的資金流向圖所示，在2024年8月21日至22日期間，攻擊者通過12跳路徑逐步將38枚ETH轉移至該中心化交易所。

釣魚者在轉移資金的過程中表現出一個特點：即為了避免因大額轉賬而引起過多關注，他們通常會將大筆資金拆分到多個地址，再通過較小的轉賬金額將資產轉移到更深層的地址。下面是釣魚者將165萬DAI拆分成36筆小額交易的例子，拆分由位于第一層的地址0x860c^[33]處理：

? ??相關地址和交易

地址	交易	非法資金流
0x860cf33bdc076f42edbc66c6fec30aa9ee99f073	0xa11e[34],?0x9ef1[35]	1,650,000 DAI
0xdd6397104d57533e507bd571ac88c4b24852bce9	0x7af2[36],?0x1d45[37]	36,733,858 DAI
0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc	0x7e10[38],?0x5d08[39]	3879 ETH + 1,825,000 DAI
0xca6061c6e5a7c3657297f9cc45ce110dc4d14470	0xee0d[40]	875 ETH
0x77b9f7e33e42b1f64b915bb27e9a9bca199da83e	0xf97a[41],?0xbc5c[42]	2164 ETH

使用?Metasleuth^[43]?構建的詳細資金流轉移圖：

在 Metasleuth 中詳細探索整個非法資金流動:?https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595^[44]

????關于MetaSleuth

BlockSec是全球領先的區塊鏈安全公司，于2021年由多位安全行業的知名專家聯合創立。公司致力于為Web3世界提升安全性和易用性，以推進Web3的大規模采用。MetaSleuth是由BlockSec開發的區塊鏈資金調查與追蹤平臺，目前支持包括比特幣（BTC）、以太坊（ETH）、Solana等15條鏈，擁有超過3億個地址標簽。MetaSleuth提供一體化的調查工具和API解決方案，具有跨鏈分析、實時監控等功能。

官網：https://metasleuth.io/
Twitter中文：https://x.com/MSCommunity_CN
Twitter英文：https://x.com/MetaSleuth

References

?vault:?https://etherscan.io/address/0x2129f8a9b6c3092a600da82ce859b7a9a69983e4

?0xf2b8:?https://etherscan.io/address/0xf2b889437f243396b29e829908b5d8ebe2e13048

?Gemini:?https://www.gemini.com/apac/hong-kong

?釣魚交易:?https://etherscan.io/tx/0xb721c8d603d5cbac826d804b04fb4662952afe91af15cf2aa603d002d3410b87

?交易:?https://app.blocksec.com/explorer/tx/eth/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4

?0x0000db5c8b030ae20308ac975898e09741e70000:?https://etherscan.io/address/0x0000db5c8b030ae20308ac975898e09741e70000

?0x5D4b2A02c59197eB2cAe95A6Df9fE27af60459d4:?https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4

?0x2805:?https://etherscan.io/tx/0x28054acca764c58157e1e5779e5e6d1c9c858a7508b189655d370a82e2a0e07b

?0xb721:?https://etherscan.io/tx/0xb721c8d603d5cbac826d804b04fb4662952afe91af15cf2aa603d002d3410b87

?0xf700:?https://etherscan.io/tx/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4

?原所有者:?https://etherscan.io/address/0xf2b889437f243396b29e829908b5d8ebe2e13048

?地址:?https://etherscan.io/address/0x0000db5c8b030ae20308ac975898e09741e70000

?地址:?https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4

?交易:?https://etherscan.io/tx/0xf70042bf3ae7c22f0680f8afa078c38989ed475dfbe5c8d8f30a50d4d2f45dc4

?0x5D4b:?https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4

?0x5D4b:?https://etherscan.io/address/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4

?0x8cc5:?https://etherscan.io/address/0x8cc568f3565a7ed44b3b0af8765a7ef67b8bc2dc

?CoW Protocol: GPv2Settlement:?https://etherscan.io/address/0x9008d19f58aabd9ed0d60971565aa8510560ab41

?0x7c63:?https://etherscan.io/tx/0x7c6305d30fbc9f9a94749750967ac54d7fced0d3bea5ea4d370d92514ed07802

?eXch:?https://etherscan.io/address/0xf1da173228fcf015f43f3ea15abbb51f0d8f1123

?KuCoin:?https://etherscan.io/address/0x45300136662dd4e58fc0df61e6290dffd992b785

?ChangeNOW:?https://etherscan.io/address/0x077d360f11d220e4d5d831430c81c26c9be7c4a4

?THORChain:?https://etherscan.io/address/0xd37bbe5744d730a1d98d8dc97c42f0ca46ad7146

?Hop Protocol:?https://etherscan.io/address/0xb8901acb165ed027e32754e0ffe830802919727f

?0x2e42:?https://etherscan.io/tx/0x2e42521b5142068b650c93d9ac798cad0fffff5ae35662f77190a4c42807fa9b

?0xa982:?https://etherscan.io/tx/0xa98216405a9e42511523aa89047ea917f0098fc15c3d1162d0d4994ff02795a1

?0x1e1e:?https://etherscan.io/tx/0x1e1e72d2b3bcab3138a098eaee5a4e942b3f44b4dd911b1a975f3b2f3a320b84

?0xb7a9:?https://etherscan.io/tx/0xb7a94448befb8f3ced5164c27395f071b2ad23d32847990d7b70323601ed4398

?0x5c06:?https://etherscan.io/tx/0x5c060ac781d4d9b22098282109e03af942b69c86ef10f2be21a736ab8d9772c0

?0xf824:?https://etherscan.io/tx/0xf824553170776aa3f877047e72b3badb27763127ff6f2b54006eac01ec2b815f

?0x391e:?https://etherscan.io/tx/0x391ed30bb238483c47a80ddf78d41a3eabb1ae9c1d90386aa57bd85ee6982a3f

?KuCoin 17:?https://etherscan.io/address/0x45300136662dd4e58fc0df61e6290dffd992b785

?0x860c:?https://etherscan.io/address/0x860cf33bdc076f42edbc66c6fec30aa9ee99f073

?0xa11e:?https://etherscan.io/tx/0xa11ebe4db723c16b275efd2cbb2d07f53c3d1931f3220d0cb8835ef869aa9ee0

?0x9ef1:?https://etherscan.io/tx/0x9ef1b32d09461d83882c6acf4d8b710af00287ff4d079cafa913a62aac55982c

?0x7af2:?https://etherscan.io/tx/0x7af275b3242b57a50a2ece06b9114ab4497e08b927cce50c51417c7f702e9abb

?0x1d45:?https://etherscan.io/tx/0x1d4532bec533c0639c0f93a9cbf95a8a86e51d9f172c7fa911e83e88f9ab8078

?0x7e10:?https://etherscan.io/tx/0x7e101dc35d6acf5068551bef00b08ff666773af3b14b46a85e4d41602718d05b

?0x5d08:?https://etherscan.io/tx/0x5d0813cf16dfedcd9b1acfc0c7e4faad2607b47e293ec8c65725fcead2f5213f

?0xee0d:?https://etherscan.io/tx/0xee0d2daaf6d79721f34ff3b2e8bdeb1fa61e10ef9a15570fa0cfa6f65fc85252

?0xf97a:?https://etherscan.io/tx/0xf97a281f71a89503f031ffab006456dbd880932bfa8e20ba39784e1f98ffa17a

?0xbc5c:?https://etherscan.io/tx/0xbc5cb9114852ca36f0c4f0dc437779d2d34b17fa4d698ccb9bc581d78475f851

?Metasleuth:?https://metasleuth.io/result/eth/0x14c1597cc833783ed8ac08ecc9b704b0a398201d?source=c8cd3609-0402-45eb-bb9e-2f710bd66554

:?https://metasleuth.io/result/eth/0x5d4b2a02c59197eb2cae95a6df9fe27af60459d4?source=c81289c1-2bd9-49af-a397-e4cc71990595。