作者:Bitrace
「群友」是當前流行在加密貨幣投資者之間的一個社交meme,對加密貨幣有著共同愛好的人們在網絡群組與現實世界中建立起社區關係,彼此互相了解對方的生活習慣、地址資訊、持倉明細等,在進行觀念分享、場外交易或業務合作的過程中,建立起了豐富有趣的社區。
但本文並非要對加密社群的群友文化做社會學意義上的嚴肅考察,而是嘗試透過揭露真實案例,對群友盜幣威脅做出警示──有時候,盜幣並不需要太高的技術含量。
賊喊捉賊
2022年6月,Bitrace收到A省某丟幣受害者的報告,聲稱自己遭到了假錢包盜幣,剛剛透過線下面對面OTC方式購買到的價值20萬美元的泰達幣不翼而飛。
在溝通中,受害者表示自己是在OTC過程中親手當場下載的錢包軟體,並且按照錢包軟體的提示備份了助記詞,當天測試金額安全到賬,所有的交易都能夠快速進行,只是沒想到第二天資金就被轉走了。 OTC服務商提醒受害者可能下載到了假錢包,需要找數據分析公司進行追蹤調查,於是受害者聯絡到了我們。
Bitrace的分析人員最初認為這確實是一起常見的假錢包盜幣案件——畢竟幾乎所有假錢包受害人都認為搜尋引擎的錢包關鍵字第一行結果是官網,但很快不常見的事情接二連三地發生了。
錢包公司回饋受害者下載的文件確實是正版錢包軟體;同時鏈上資金分析也顯示,被盜的資金並沒有如同其他假錢包贓物那樣,被快速轉入網賭平台熱錢包地址,或者進入為非法資金清洗提供服務的第三方擔保交易平台地址,而是停停走走在鏈上繞了一個大圈;彷彿盜幣者知道這一筆加密資金並不需要清洗似的,最後甚至有部分資金流回了OTC服務商的資金關聯地址。
但還來不及疑惑,調查人員就發現,這起事件的資金與Bitrace正在協助B省某地執法單位調查的另一起案件的地址資金產生了交集。本案的受害人被竊經驗與A省受害人幾乎完全一致-線下面對面OTC交易、當場下載錢包、交易完成後被竊、被竊後以假錢包盜幣名義報案。
同一組犯案地址,同樣的手法,兩個不同省份的受害者,此時一個大膽的想法湧上心頭。
後續的配合偵查與警方執法過程按下不表,最終嫌疑人供述的結果是,他們只是在受害人抄寫備份錢包助記詞的過程中,安排人偷偷在受害人背後用手機拍下了屏幕,並在整個過程中暗示或明示受害者,他可能下載的是帶後門的錢包,把鍋子甩給錢包公司。
至此真相大白,只是有些黑色幽默。
三人成虎
2023年11月21日,有KOL在社群媒體上發文表示,自己在TP錢包中存放的兩種價值11000美元的加密貨幣被盜,考慮到自己的助記詞都是離網存儲,被安全地抄寫在自己的密碼本中,只有錢包公司有權限接觸他的助記詞,於是認為是該錢包公司監守自盜。
一時間引發了大量其他投資者的共鳴,紛紛提到自己使用該錢包被盜的經歷,熱度極高,許多網友也轉發聲援,對TP錢包口誅筆伐,彷彿這家公司已是業界毒瘤。
由於受害者公開了自己的地址,Bitrace 的調查人員得以對這起事件展開初步分析。
受害人地址中同時有兩種資產遺失,首先排除的是授權盜幣可能,因為針對波場錢包的授權盜幣往往只以泰達幣為目標,且不會盜取主鏈代幣;
轉移的TRX系整數,接著排除假錢包盜幣可能,因為這不符合假錢包團伙的“一鍵劃轉”、“吃乾抹淨”的工作原則,此外更何況這個錢包已經使用了很久都沒有發生過被盜,盜幣者並沒有使用專業盜幣集團常用的資金清洗手法;
受害人的地址資金交互情況複雜,在被盜前與大量對手方發生交易,且資金規模龐大,因此我們推測其中交易對手方或合作夥伴盜幣等熟人犯案可能性較高。
綜上,Bitrace透過兩個地址的鏈上活動便大致判斷出了後續調查的方向,並主動聯繫加入了包括受害人與TP錢包在內的三方調查群組。
最後的調查結果不出所料,確實係熟人犯案,受害人的朋友趁受害人不備,偷偷抄寫了他的密碼本,進而完成了盜幣動作與業餘的資金清洗活動。 TP錢包也方才勉強擺脫嫌疑。
而之所以說是「勉強」,正是因為假錢包盜幣團夥業務是如此的龐大,以至於某些無辜的錢包公司反复蒙受冤屈,即使這一次解釋清楚,也還會有下一次,與下下一次。
區分群友盜幣與假錢包盜幣
群友盜幣與假錢包盜幣在形式上多有一致,例如:
都是地址管理權限遺失,會有同時多種帶筆資產被非法轉移;都不會在鏈上看到可疑的授權交易,轉賬方式也並非“transferFrom”;都存在一定的養魚期,在獲取錢包權限的初期不會貿然轉移資產,以防打草驚蛇。
但大同之下仍有小異,以下是Bitrace在過去數千起丟幣案件分析過程中總結出來的規律,任何一個具備基礎區塊鏈知識的投資者都能夠充分了解:
- 假錢包盜幣的產業化與自動化程度極高,在取得受害者錢包權限後,都是從後台一鍵劃轉獲取資金的,因此幾乎不可能出現留一部分偷一部分的情況。相反,群友盜幣多為手動,疏漏很多,多筆資產轉移間隔較長;
- 假錢包盜幣的洗錢管道不是網賭平台地址,就是第三方擔保交易平台,這類機構缺乏KYC機制,是犯罪者的洗錢天堂。而群友盜幣往往準備不足,得手後要麼囤幣發呆,要麼就近使用第三方去中心化交易平台,甚至直接向中心化交易平台轉賬,十分業餘;
- 假錢包盜幣的養魚一般透過多重簽名進行,被多簽的受害人地址只能存入不能轉出,受害人在不知情情況下將可能持續轉入。而群友盜幣不可能使用這個方法。
最後
不管是熟人場景下的群友盜幣,還是針對不特定對象的假錢包盜幣,都是對我們行業的巨大危害,在打擊這類非法活動的過程中,投資者本人、錢包公司、加密基礎設施以及政府部門都不能置身事外。