PeckShield：图文拆解巨鲸账号被盗大案，一个专业娴熟的黑客团伙所为‘千亿游戏国际官网’

在区块链世界的黑暗丛林中隐蔽着一批技术专业实力身体素质的黑客，也具有一群早期因投资比特币赚得盆剩钵剩的币圈大佬。理论上，大佬只将其链上地址透漏出来的话，黑客技术实力再行身体素质也无可奈何，但倘若大佬的链下身份也被揭穿的话，一场蓄谋已久的偷窃大案也早已拉开序幕。02月22日，一名自称为“zhoujianfu”的用户在 Reddit 发帖称之为遭到黑客攻击，被盗了 1,547 个 BTC 和 60,000 个 BCH，价值大约 2.6 亿人民币。据受害者声称，他的SIM手机卡被密码从而造成资金被盗。

PeckShield 安全性团队指出，SIM 卡反击，是通过跨过运营商的安全措施，将受害者的 SIM 卡展开拷贝或者新的办理，从而超过掌控被盗者 SIM 卡的目的。一旦取得被盗者的手机号码控制权，通过短信验证码检验机制，就可以提供被盗者绝大多数的账户权限，这也还包括绝大多数被盗者的加密货币账户。

锁定目标这名 Twitter ID 为zhoujianfu 的用户，在声称被盗后迅速就被瞄准身份为 Josh Jones，他有一个十分显要的身份，曾多次仅次于交易所 Mt.Gox 的第二大债权人，而门头沟享有 43,768 枚比特币。完全在其 Reddit 发帖后的同时，大家就告诉其现实身份，可见这位大佬平日在网络世界里行事并不高调，其享有大量加密货币毕竟也是尽人皆知的事实，何况技高一筹的黑客。

因此，黑客也许早已识破了他。图文报废：巨鲸账户被盗资产下落此次 1,547 个 BTC 被盗是近几年仅次于的个人被黑大案。

据受害者体现，他的 BTC 链上地址是 1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone。PeckShield 安全性团队旗下可视化数字资产跟踪系统 CoinHolmes 涵盖了数十个交易所，超强6,000万地址标签，牵涉到 BTC、ETH、EOS、USDT 等多种主流数字资产。根据受害者获取的地址，CoinHolmes 迅速瞄准了黑客的涉及地址，并进行了定向跟踪和剖析，最后绘制了一个可视化路径移往全景图：如图所示，此次黑客移往链上资金的手法十分专业、简单，实在太用可视化工具做到出来之后早已没有了清晰的分层和脉络。

比特币本身就有简单的 UTXO 系统，基于此，黑客又用了大批量的账号集中和移往资金，甚至还落成了误解系统。一顿操作者猛如虎，黑客就像窜进了一个黑暗丛林当中一样。资金集中移往并小额合并通过第一时间分析巨鲸账户被盗的 BTC 资产，PeckShield 安全性人员找到黑客在窃取 1,547 个 BTC 后，很快把资金切割成集中，展开小额合并。黑客这样做到的本意正是以比特币 UTXO 找零系统的复杂性来大批量集中账户和资金，展开减少跟踪的可玩性和时间成本。

黑客短时间内把资金主要集中到了七个主要地址，各个地址资金情况如下：以 bc1qre5 结尾的地址为事例，PeckShield 用于旗下数字资产可视化跟踪平台 CoinHolmes 绘制了其资产流向移往图，从右图中我们可以显现出地址上的资金在每笔交易中切割成，转至大额资金的地址不会沿着前进方向之后小额合并。资金与其他交易误解通过对黑客短时间集中并小额合并窃取的 1,547 BTC 的分析，我们早已需要显现出黑客洗黑钱的专业性和复杂性。但在已完成这一步集中操作者后，黑客还在更进一步企图通过更加简单的误解系统，让资产跟踪显得极为艰难。

PeckShield 安全性人员第一时间分析找到，黑客在移往资金的过程中还夹杂其他交易的 UTXO 作为误解，以上文分析的 bc1qre5 结尾的地址为事例，右图红框标记的交易资金并不在此次被盗的 1,547 BTC 资金中，同时 6ef39b 结尾的交易除了包括 bc1qre 结尾地址的资金，还混杂着其他 UTXO。比特币混币并不是一个新的概念，它最先源于暗网，黑客或者犯罪分子将提供的 BTC 混合在一起，以防止被跟踪。具体来说，混币就是在一个交易中包括大量的输出和输入，将交易信息恐慌覆没，从而增大找到输出与输入之间关联性的可玩性。虽然比特币地址本身不具备匿名性，但是涉及交易数据是几乎公开发表半透明的，通过交易的地址关联，对数据的分析，是需要展开链上跟踪并瞄准地址背后身份的。

所以为了防止被追踪监测，黑客一般都会对窃取的比特币展开混币操作者。部分资金流向交易所PeckShield 安全性人员统计资料找到，自 02月22日 事件再次发生放至 02月26日，短短4天时间，黑客共用了上百个地址来移往资金，深达的层级超过了20层。在资金合并移往的过程中，有少部分资金已流向了交易所。

依赖于 CoinHolmes 链上跟踪的海量地址标签和动态的机器学习算法改版，即使是交易所新的分解的地址，我们也需要精确并动态的分析出有。据 PeckShield 统计资料，网卓新闻网，目前有 11.19 个 BTC 通过多次交易流向到了 1LZVz7 结尾的 Bittrex 交易所地址。流向 Bittrex 交易所的关键路径图如上图右图，如前文所述，在流向交易所前黑客早已采行了混币的方式，PeckShield 安全性人员因此辨别，有一部分资金黑客有可能并没必要并转至交易所，而是通过类似于场外 OTC 的方式等方式展开了清除。除了流向交易所的部分资金外，截至目前，大部分被盗资金还待命在黑客地址中，PeckShield 也于是以瞄准监控目标资金移往更进一步的动向。

结语PeckShield 有理由坚信，这次黑客应当是一支专业和技术身体素质的黑客团伙。该团伙从指定目标，到链上+链下长时间的跟踪和突破，无非下了不少功夫。这或许给一些早期投资加密货币且利润丰厚的大佬们托了一个睡，赚了钱别瞎了嘚瑟，有人在时刻盯着您嘞。

尽管非对称加密私钥系统给个人账户护持了，以现在计算机算力完全不有可能攻陷的链上防卫工程，但个人私钥管理实归属于链下不道德，黑客可以利用用户在互联网上一些旧有的毛糙习惯展开突破，此次 SIM 卡反击正是其中一种。常言道，“不怕贼偷走，就害怕贼惦记。”如果说，只告诉链上地址，黑客尝试密码用户私钥必须穿过几世来世，持续上亿年的话，而一旦用户的链上地址和链下身份对上了号，那黑客实行反击的方式也毫无疑问多了上万种有可能。

本文来源：千亿游戏官网-www.workathomehustle.com