7、虚拟币－滋生违法活动的温床

2022年9月，湖南省衡阳县公安破获“9.15”特大虚拟货币洗钱案，涉案金额400亿元。2022年12月，内蒙古通辽市公安局科尔沁分局成功破获一个利用区块链网络兑换数字虚拟货币洗钱团伙，抓获犯罪嫌疑人63名，涉案金额高达120亿元。2022年8月8日，美国财政部的海外资产控制办公室（The Office of Foreign Assets Control of the US Department of the Treasury，简称OFAC）宣布制裁Tornado Cash协议，根据美财政部披露，自2019年成立以来，Tornado Cash已帮助洗钱超70亿美元。

据零时科技不完全数据统计，2022年通过加密货币洗钱金额达到104.2亿美元，同比增长20.7%。2022年，国内公安部门破获多起虚拟货币洗钱案件，案件数量呈增长趋势。洗钱、诈骗、传销、盗窃是加密货币犯罪的主要类型。

如何打击防御基于虚拟币的违法犯罪？

零时科技自主研发了虚拟币追溯分析平台，拥有情报系统、监控系统、KYC&KYT和溯源系统四大系统。该平台基于链上数据及区块链安全情报，通过大数据、图运算、机器学习等技术，使得整个虚拟币链上追溯可自动化运营，可视化展示，方便快捷地发现虚拟币流向及实名登记，可以有效协助案件侦查，打击虚拟犯罪，为业内受害者提供虚拟资产追溯服务。目前，该平台已经分析交易数量17.7亿，标记地址超8000万，分析地址超8.5亿个。并协助深圳市公安局、重庆市公安局、铜川市公安局、商洛市公安局和商州公安局等，破获多起的虚拟货币赌博、传销、诈骗案件，在业内引起了强烈反响。

8、安全教育-Web3安全盾牌

知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到，网络安全意识如果不提高，未来面临的商业机密等各项安全事件势必会影响企业发展。Web3去中心化自组织的参与方式，让个人意识到，如果不提高安全意识，就会沦为黑客的提款机。

目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识，零时科技也在各平台布道了上百篇网络安全知识。

除此外，零时科技也自研了安全意识评估管理平台，主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构，网络安全意识评估平台以网络钓鱼技术为基础，帮助企业构建私有云化的网络安全意识评估管理平台，集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统，实现企业持续系统化提升全员网络安全意识。除此之外，基于零时科技安全团队的专业实力，也为企业网络安全咨询和培训服务，从源头坚实安全盾牌。

三、Web3热点安全事件攻击手法详细解析及措施建议

3.1 Ronin Network侧链被盗6.25亿美金流向分析

0x1 事件概述

零时情报站报道， 3 月 29 日消息， Axie Infinity侧链Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏，导致在两笔交易中从 Ronin 桥接了 173,600 个以太坊和 2550 万美元的 USDC，目前Ronin 桥和 Katana Dex 已经停止使用。以下是攻击者钱包地址：https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96。目前，黑客已将所有USDC 兑换为 ETH，将 6250 ETH 分散转移，3750 ETH 转移到 Huobi，1220 ETH 转移到FTX，1 ETH 转移到 Crypto.com，剩余资金余额仍停留在黑客地址，黑客发起攻击资金1 ETH 来源为 Binance ，剩余资金余额仍停留在黑客地址。黑客发起攻击资金来源为 Binance 提币。

0x2 事件原理

Ronin采用简易的资产跨链模式，用户通过Ronin跨链合约将以太坊的资产转移至Ronin，该过程中，Ronin跨链合约首先会判断是否在以太坊端接收到了资产并锁定，随后Ronin跨链合约确认并发布给用户在Ronin上的相应资产，当用户销毁Ronin上的相应资产后，以太坊端会将初始锁定的资产解锁并返回给用户。

Sky Mavis 的 Ronin 链目前由 9 个验证节点组成。为了识别存款事件或取款事件，需要九个验证者签名中的五个。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。

验证器密钥方案被设置为去中心化的，它限制了与此类似的攻击向量，但攻击者通过Ronin的无Gas RPC 节点发现利用后门来获取 Axie DAO 验证器的签名。

回顾 2021 年 11 月，当时 Sky Mavis 请求 Axie DAO 帮助分发免费交易，因为用户负载巨大。Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止，但未撤销许可名单访问权限。

一旦攻击者获得了 Sky Mavis 系统的访问权限，他们就能够通过使用无Gas RPC 从 Axie DAO 验证器获取签名。

目前官方已确认恶意提款中的签名与五个可疑验证者相符。

0x3 资金来源去向

资金来源

攻击者通过Binance交易所地址获取初始资金1.0569 ETH，随后调用Ronin Bridge跨链桥合约获取173,600枚ETH和25,500,000枚USDC。

资金去向

攻击者将25,500,000枚USDC分五笔分别转移给0xe708f......7ce10地址及0x66566......55617地址并从该地址兑换获取约8564枚ETH。

随后攻击者将6250枚ETH转移至5个地址，其他资金目前仍在攻击者钱包地址。

对目前已转移出的钱包资金进行追踪:

黑客将3750 枚ETH 转移至 Huobi火币地址。

黑客将1250 ETH转移至FTX Exchange交易所地址。

黑客将1枚ETH转移至Crypto.com地址。

零时科技加密资产追踪分析平台分析如下图所示：

总结及建议:

零时科技安全团队将持续监控被盗资金的转移情况，再次提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。