TimeLine:
2022年8月3日15点,PeckShield在Twitter上披露,ZB.com 在ETH链上的各Token被转移,合计约4.8 Million USD。
直到今天(2022年8月11日),ZB.com 在官网以及推特均未给出任何回应。
那么究竟发生了什么,区区4.8 Million USD真的会击垮一个自2013年就成立的老牌交易所,我们直接去链上看看。
通过链上的追踪与溯源,我们有了新的发现:被盗资金远远超出已披露的4.8Million, ZB.com 热钱包疑似实际被盗约 39.4Million
下文给出此事件的详尽分析,并提供IOC威胁情报。
基于我们的地址标签系统,0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是 ZB.com 在ETH链上正在使用的出金热钱包地址。如下图所示,在8月1日和8月5日,该地址上的头寸余额的接近归零。
结合PeckShield的分析以及我们对出金热钱包地址在8月1日至8月2日所有交易的分析,0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62为攻击者的第一跳地址。该地址有以下异常特征:
下表梳理了具体事件发生的时间线:
此外,虽然 ZB.com 已经停止了充值功能,但仍然有源源不断的资金被归集到 ZB.com 热钱包中,每天约30+ ETH。基于我们的链上资金追踪,大部分资金都来源于矿池,比如F2pool.com, Ethermine.org, Sparkpool.com, BW.com。应该为矿工将 ZB.com 给用户分配的地址作为挖矿收益的收款账号。我们在此也提醒矿工们、以及矿池避免再向 ZB.com 进行入金。
针对于8月5日热钱包地址头寸余额大幅下降,其对应一笔 730 ETH的交易0x212b6d8d8cd8a3b4d3b692482f076a563cee6ddab4de540baf438bbe989023e0。资金被转地址 0xfd6724b4b3e8eca764f0dd07ccd903ad348d70f8 中。由于该地址为 ZB.com热钱包。因而这笔交易可以理解为 ZB.com 为避免再次被盗所做出的防御措施。
攻击者在8月1日的行为过于疯狂,几乎提取了 ZB.com 出金热钱包中大部分币种的所有头寸资金。比如:
多个币种的出金热钱包头寸过低,对交易所而言是高度异常的风险信号,会有人工介入排查。因此 ZB.com 一定发现了非常重大的问题,并在8月2日关闭了 ZB.com 的充提功能。 回到本文最初问题。4.8 Million USD真的会击垮一个老牌交易所吗,导致长期无法充提吗?我们觉得 ZB.com 应该被盗取了远远更多的资金。因此,我们分析了更长时间段、更多链以及地址上的交易数据,尝试找出新的被盗线索。
当 ZB.com 的出金热钱包头寸不足时,ZB.com的多签冷钱包地址:0x6ba3FFBd026a4ec164aD477092000B9CF1e4C351 将会划拨资金。该地址在6月13日、7月5日、7月15日,7月16日,7月20日,7月28日,7月31日向 ZB.com 出金热钱包分7次,每次转账2000ETH,共14000ETH。
7月中下旬的资金划拨较为频繁。我们进一步分析了7月中下旬,ZB.com 出金热钱包在ETH币的出金行为,发现新的疑似攻击者盗币行为:
以地址为例:0xf32558253b95430642245750b5AFEF606c70b1c2。该地址从7月31日 05:12 至 8月1日 14:49 收到多笔金额在 4 ETH 的结构化资金,共计 154.93 ETH。该地址历史上并未有过大额入金,并且之前与 ZB.com 也没有任何交互。
如图中地址标签所示,该地址的ETH全部转移到 Gate.io 的归集钱包中,该地址为Gate.io为用户分配的入金地址。
更进一步分析,我们发现地址0x0e394d3facf0ce3bd5fcce584e16e0cbac164346 是攻击者最先进行资金窃取的地址。该地址从2022年3月30日开始结构化出金,每天出金1、2次,至今已累计获取资金10778.71 ETH。
以下为梳理出的攻击者的盗币详情,这些地址均为 Gate.io的用户入金地址。攻击者行为具有时间上的连续性,并且结构化出金的金额从40ETH降至4ETH。
ZB.com 在BTC链上的出金热钱包地址是:1M9jBgjJKwRhrkSuoLrpeu6FnmrCdY3xWt。该地址上的BTC头寸在7月底也出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情。目前攻击者暂未对这部分资金进行清洗。
ZB.com 在XRP链上的出金热钱包地址是:rNB4ywKQ8PBQzU4YHJxX8nQjNJ5TyUVRmf。该地址上的XRP头寸在8月1日也出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情,此外,攻击者通过 Changenow.io 以及 SimpleSwap.io 两个平台完成对资金的清洗。
ZB.com 在TRX链上的出金热钱包地址是:TZCTLnJ4xE1EbqoZmXmtkQZ3UbavV9cVTd。该地址上的TRX头寸以及USDT头寸在8月1日均出现了大幅下降。
以下为梳理出的疑似攻击者的盗币详情,
从洗钱路径上看,地址 TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS ,TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg 在SunSwap 中将 USDT 换为 TRX,最终资金流向两个主流交易所:
ETH:0xe019d99f9fe03dc5661ad4bb19f9db88d9fa0a62
ETH:0x67c67b5a3c4009cf849f86be37e79db3923f1055
ETH:0x2540f2aaEF8049CB74BE6d398A17DAA7E1C5EF63
ETH:0x26446C1658b036A6FA3Efb805F8fc538451D3FC2
ETH:0x0e394d3facf0ce3bd5fcce584e16e0cbac164346
ETH:0x4fd4Ca0F9B195843023467A4333e67973D959810
ETH:0xf32558253b95430642245750b5AFEF606c70b1c2
ETH:0x4f02B2AdAc2e13306A537Ff63339BB89a518A846
BTC:13brwbd7ybJRfWrFhBBCLh3yHxD1w76sEp
BTC:15AxhsJ2v7pzsHuJTJVEeSwGnY3HFMZeuS
BTC:15pxyPr5v3PkLpggqSayoy9q7inXiooX2u
BTC:18djFsGNoejE52oerWXBb1651rvLr5mEtj
BTC:1Bszb9u1PGrKRW8UuZV3wbngEWBgLK4fYN
BTC:1C2VMrJouLzEBKoReCzotJt7biZ9gB7e5x
BTC:1CMBMcM8ku4CHkyrLAFSj1GetRvdmvbTTw
BTC:1CR8vbE9aGDoTEkKcdNqyKQnBNp7fvpLNe
BTC:1JGW4xgHdPxr2NrNqFBbmb7qsAcrJh5QoW
BTC:1JcebjNvBnZLjz9Wtu9ecj3Bp1j3bdN4WT
BTC:12757MjAtoJ6Th3yFPaXYDwNaM9q4ej4zB
BTC:14BpKbfjb1ercW2SVQ68wPwYPDEi2T4yUa
BTC:15Ua2687mny7Ye97StoT3FAQJwJYf1G1mQ
BTC:1LDpSsew2qtQGHW8UDKkmjXvnKvQLF9wUW
BTC:1LpZNzDbpNxqemUZwzbYhPjuUKbTC1aNzu
BTC:bc1qe7fd5txjw47h7f4fafas6w5ztvvq7uue7g5rz2
BTC:bc1qg9gfy5jztntuq5udvtvl3qvkm0c4cddr9xew75
BTC:bc1qhhwlsgx9hsg8fx8tlqmhstascvj0f22vet98xk
BTC:bc1qm78mqe8f4w2smuctr8xwxv6hmta30a947tcpj8
BTC:bc1qf4aj092tz6w86a4lq8m02wuz2jquw3gfw854p6
BTC:bc1qz3atp7wpzjzuslkaq4j23xnjs6hw6zp0ev3n27
XRP:rpC7jq7gniqucxgEVY8YG8CruKNTQsQX8k
TRX:TTU6NSaqtA2wzmnawYMAJLGLbHqysvvqQA
TRX:TV7CC8g7DxFb9HHgRqgUEk1ZTeEmBxp4gK
TRX:TDDdaHUpy33LV8TVph1kaEfWyxzwTaoNtS
TRX:TA9jTNaXorfWNuN2tAiMvB1UEEYFqhQaEg