上一篇我們完整解讀了 2022 上半年典型安全事件及反洗錢分析，如果感興趣或者有遺漏可以點擊瀏覽。

本篇主要集中解讀 Ronin Network 安全事件反洗錢分析及工具方法介紹。

事件背景

3 月 29 日，Axie Infinity 側鏈 Ronin Network 發佈社區預警 ，Ronin Network 出現安全漏洞，共 17.36 萬枚 ETH 和 2550 萬枚 USDC 被盜，損失超 6.1 億美元。據官方發佈的信息，攻擊者使用被黑的私鑰來偽造提款，僅通過兩次交易就從 Ronin bridge 中抽走了資金。值得註意的是，黑客事件早在 3 月 23 日就發生了，但官方據稱是在用戶報告無法從 bridge 中提取 5k ETH 後才發現這次攻擊。本次事件的損失甚至高於去年的 PolyNetwork 被黑事件，後者也竊取了超過 6 億美元。

事情背景可追溯到去年 11 月，當時 Sky Mavis 請求 Axie DAO 幫助分發免費交易，由於用戶負載巨大，Axie DAO 將 Sky Mavis 列入白名單，允許 Sky Mavis 代錶其簽署各種交易，該過程於 12 月停止。但是，對白名單的訪問權限併未被撤銷，這就導致一旦攻擊者獲得了 Sky Mavis 繫統的訪問權限，就能夠通過 gas-free RPC 從 Axie DAO 驗證器進行簽名。Sky Mavis 的 Ronin 鏈由九個驗證節點組成，其中至少需要五個簽名來識別存款或提款事件。攻擊者通過 gas-free RPC 節點發現了一個後門，最終攻擊者設法控制了五個私鑰，其中包括 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器。美國調查機構認為朝鮮黑客組織 LAZARUS GROUP 是此事件的幕後黑手。

工具及方法

在正式開始反洗錢分析之前，先介紹一個高效的工具和一套有效應對復雜洗錢情況的分析方法。

基礎工具 - MistTrack

（MistTrack 反洗錢追蹤繫統示例圖）

MistTrack 反洗錢追蹤繫統是一套由慢霧科技創建的專註於打擊加密貨幣洗錢活動的 SaaS 繫統，具有資金風險評分模塊、交易行為分析模塊、資金溯源追蹤模塊、資金監控模塊等核心功能。

• AML Risk Score

MistTrack 反洗錢追蹤繫統主要從地址所屬實體、地址歴史交易活動、慢霧惡意錢包地址庫三方面為其計算 AML 風險評分。當地址所屬實體為高風險主體（如混幣平臺）或地址與已知的風險主體存在資金來往時，繫統會將該地址標記為風險地址。同時，結合慢霧惡意錢包地址庫中的惡意地址數據集，對已核實的勒索、盜幣、釣魚欺詐等非法行為的涉案地址進行風險標記。

• Address Labels

MistTrack 反洗錢追蹤繫統積纍了超 2 億個錢包地址標簽，地址標簽主要包含 3 個分類：

（1）它歸屬於什麽實體，如 Coinbase、Binance

（2）它的鏈上行為特徵，如 DeFi 鯨魚、MEV Bot 以及 ENS

（3）一些鏈下情報數據，如曾使用過 imToken/MetaMask 錢包

• Investigations

追蹤和識別錢包地址上的加密資產流嚮，實時監控資金轉移，將鏈上和鏈下信息整合到一個面闆中，為司法取證提供強有力的技術支持。

（MistTrack 追蹤分析示例圖）

通過標記 1 仟多個地址實體、2 億多個地址標簽，10 萬多個威脅情報地址，以及超過 9000 萬個與惡意活動相關的地址，MistTrack 為反洗錢分析和研究提供了全面的情報數據幫助。通過對任意錢包地址進行交易特徵分析、行為畫像以及追蹤調查，MistTrack 在反洗錢分析評估工作中起到至關重要的作用。

拓展方法 - 數據分析

MistTrack 可以滿足常見的反洗錢分析場景，而遇到復雜特殊的情況就需要其他的方法輔助分析。從區塊鏈反洗錢資金態勢中我們可以看到很多被黑事件發生後，在 ETH/BSC 鏈上的資金都不約而同地流嚮了一片灰暗之地——Tornado.Cash，Tornado.Cash 已成為 ETH/BSC 鏈上反洗錢的主戰場。

新的洗錢手法需要新的分析方法，對 Tornado.Cash 轉出分析的需求變得越來越普遍，此處我們將提出一個針對 Tornado.Cash 資金轉出的分析方法：

• 記錄目前已知的信息，已知信息包括轉入 Tornado.Cash 總數，第一筆 Tornado.Cash 存款時間，第一筆 Tornado.Cash 存款的區塊高度。
• 將參數填入我們准備的分析面闆（https://dune.com/awesome/Tornado-withdraw-analysis）。
• 得到初步的 Tornado.Cash 提款數據結果，再使用特徵分類的方式對數據結果做進一步篩選。
• 篩選後的結果是一批疑似黑客轉出的結果集，取概率最高的結果集併對它進行驗證。
• Tornado.Cash 轉出分析結論。

（Dune Dashboard - Tornado.Cash 轉出分析）

通過這個 Tornado.Cash 資金轉出的分析方法，我們已成功分析出 Ronin Network 等多個安全事件從 Tornado.Cash 轉出後的資金詳情。

顯而易見，這個 Tornado.Cash 資金轉出的分析方法同樣存在局限性：

轉入 Tornado.Cash 的數量分類也是一個匿名集，資金量越大相應的匿名集數量越少，資金量越小則相反。所以對於資金量小的分析難度更大。

而在 BTC 鏈上，通過區塊鏈反洗錢資金態勢我們可以看到 ChipMixer 和 Blender 是黑客的常用洗錢平臺。Blender 目前已被美國財政部制裁，站點已不可用，這裏不再做進一步的探討。

ChipMixer 流入洗錢資金量巨大，我們同樣需要提出一個針對 ChipMixer 資金轉出的分析方法。

• 識別 ChipMixer 的提款特徵。

• 根據上述提款特徵對相應時間段的結構化區塊數據進行掃描和篩選，得到這個時間段內 ChipMixer 的提款記錄。
  
• 對提款記錄數據歸類結果集，取概率最高的結果集併對它進行驗證。
  
• ChipMixer 轉出分析結論。

反洗錢分析詳述

根據上述方法，針對 Ronin Network 安全事件做出以下分析：

黑客地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96（ETH 鏈）

被盜時間：3 月 23 日

損失統計：173,600 ETH、25,500,000 USDC

攻擊手續費來源：SimpleSwap

資金轉移：

（Ronin Bridge Exploiter 資金轉移時間線）

ETH 資金轉移：

黑客將攻擊獲利的 25,500,000 USDC 兌換為了 8,562.6801 ETH，所以黑客需要洗幣的總額為 182,163.737 ETH（Binance 提款 1.0569 ETH + 攻擊所得 173,600 ETH + 攻擊兌換 USDC 所得 8,562.6801 ETH ）。

（Ronin Bridge Exploiter 資金轉移圖）

黑客獲利資金流嚮主體詳情如下錶：

註：其他未做統計的流嚮資金為洗幣過程損失。

Tornado.Cash 資金轉移：

黑客總計轉入 Tornado.Cash 175,100 ETH，經過分析，我們得出 Ronin 黑客從 Tornado.Cash 提款符合下列特徵：從 Tornado.Cash 轉出後直接或轉移一層後使用 1inch 或 Uniswap 兌換為 renBTC，通過 renBTC 跨鏈到 BTC 鏈。

通過 Dune Analytics，我們將符合上述特徵的 Tornado.Cash 提款和跨鏈到 BTC 鏈的數據篩選出來，併進行有效的可視化展示（https://dune.com/awesome/ronin-hacker-analysis），如下圖：

（Ronin 黑客從 Tornado.Cash 轉出後通過 renBTC 跨鏈數據）

根據上面的分析圖，得到 Tornado.Cash 轉出資金情況如下錶：

註：數據有效時間截止於 7 月 20 日。

BTC 資金轉移：

根據對 Tornado.Cash 資金轉移的分析，我們得到符合特徵的共計 8,075.9329 BTC 的資金跨鏈到 BTC 鏈。其中的 6,191.2542 BTC 經過分析確認與 Ronin 黑客相關，再加上從 Huobi 和 FTX 提款的 439.7818 BTC，確認共計 6,631.036 BTC 為 Ronin 黑客所屬資金。此部分資金的進一步轉移情況如下錶：

註：0.1 BTC 以下轉移額不做統計。

ChipMixer 資金轉移：

根據 BTC 資金轉移可以看到 3460.6845 BTC 轉移到了 ChipMixer，通過對 BTC 鏈上數據監控以及對 ChipMixer 的提款數據進行分析，識別出 Ronin 黑客從 ChipMixer 共計提款 2,871.03 BTC。此部分資金的進一步轉移情況如下錶：

註：0.1 BTC 以下轉移額不做統計。

總結

以上便是關於 Ronin Network 安全事件反洗錢分析以及工具方法介紹的全部內容，至此，關於 2022 上半年區塊鏈安全及反洗錢分析報告的四篇完整解讀已全部完成，可以直接點擊頂部專題合集#區塊鏈安全與反洗錢報告瀏覽查看。

完整報告下載：

https://www.slowmist.com/report/first-half-of-the-2022-report.pdf