PeckShield：巨鲸账号盗窃图解拆解，专业技术精湛的黑客团体

在区块链世界的黑暗丛林中，隐藏着一群技术过硬的黑客，也隐藏着一群早期投资比特币赚得盆满钵满的币圈大佬。

理论上，如果歹徒只是公开自己在链上的地址，那么黑客再强也无能为力。 但如果歹徒的链下身份也被发现，一场蓄谋已久的盗窃就会拉开序幕。 .

2月22日，一名自称“周建富”的用户在Reddit上发帖称，自己被黑了，1547个BTC和6万个BCH被盗，价值约2.6亿元人民币。

据受害人称，他的 SIM 卡被黑客入侵，资金被盗。 PeckShield安全团队认为，SIM卡攻击是通过绕过运营商的安全措施，复制或重新申请受害者的SIM卡，从而达到控制被盗SIM卡的目的。 一旦获得被盗者手机号的控制权，通过短信验证码的验证机制，可以获得被盗者的大部分账户权限，其中也包括绝大多数的加密货币账户。被盗的人。

目标

Twitter ID 为 zhoujianfu 的用户在声称盗窃后很快就被确认为 Josh Jones。 他的身份非常显赫，曾是最大交易所Mt.Gox的第二大债权人，门头沟拥有43768个币。 比特币。

几乎在他在 Reddit 上发帖后，每个人都知道了他的真实身份。 可见这位大佬在网络世界中并不低调。 他拥有大量加密货币想必是众所周知的事实，更何况是技术高超的黑客。

因此，黑客可能已经盯上了他。

图文拆解：巨鲸账户被盗资产去向

1,547 BTC被盗是近年来最大的个人黑客案件。

根据受害者的说法，他在 BTC 链上的地址是 1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone。

CoinHolmes是PeckShield安全团队旗下的可视化数字资产追踪系统，包括数十家交易所，地址标签超过6000万个，涉及BTC、ETH、EOS、USDT等主流数字资产。

根据受害者提供的地址，CoinHolmes迅速锁定了黑客的相关地址，进行了定向跟踪分析，最终画出了视觉路径转移全景图：

如图所示，黑客在链上转移资金的手段非常专业复杂，以至于使用可视化工具后，没有清晰的层次感和脉络。 比特币本身有一个复杂的 UTXO 系统。 黑客以此为基础，利用大量账户进行资金分散转移，甚至启用了混淆系统。

操作凶猛如虎，黑客如入黑林。

资金去中心化转移和小拆分

通过对巨鲸账户被盗BTC资产的后续分析，PeckShield安全人员发现，黑客在盗取1547个BTC后，迅速将资金切分分散，小额拆分。 黑客这样做的意图是利用比特币UTXO找零系统的复杂性，大量分散账户和资金，增加追踪难度和时间成本。

短时间内，黑客主要将资金分配到七个主要地址。 每个地址的资金情况如下：

以bc1qre5开头的地址为例，PeckShield利用其数字资产可视化追踪平台CoinHolmes绘制了其资产流转图。 从下图中我们可以看到，地址上的资金在每笔交易中都被切分，大额资金的转账地址沿着正向继续小额拆分。

资金与其他交易混淆

通过对黑客在短时间内窃取的1547枚BTC进行小额拆分分析，可以看出黑客洗钱活动的专业性和复杂性。 但在完成这一步去中心化操作后，黑客们仍在试图通过更复杂的混淆系统让资产追踪变得异常困难。

PeckShield安全人员后续分析发现，黑客在转账过程中还混入了其他交易的UTXO进行混淆。 以上面分析的bc1qre5开头的地址为例，下图中红框标注的交易资金本次并未被盗。 在1547笔BTC资金中，同时以6ef39b开头的交易不仅包含以bc1qre开头的资金，还夹杂着其他UTXO。

比特币混合并不是一个新概念。 它起源于暗网，黑客或犯罪分子将获得的比特币混入其中以避免被追踪。

具体来说，混币就是在一笔交易中包含大量的输入和输出，混淆了交易信息，更难找出输入和输出之间的关联。 虽然比特币地址本身具有匿名性，但相关交易数据是完全公开透明的。 通过交易的地址关联和数据的分析，可以实现链上追踪，锁定地址背后的身份。

因此，为了避免被跟踪和监控，黑客一般会对被盗比特币进行混币操作。

部分资金流入交易所

PeckShield 安全人员统计发现，从 2 月 22 日事件到 2 月 26 日，短短 4 天内，黑客共享了数百个地址进行资金转移，最深层次达到了 20 层。 在拆分和转移资金的过程中usdt被盗的原因，有一小部分资金流入了交易所。

依托CoinHolmes链上追踪到的海量地址标签和实时机器学习算法更新，即使是交易所新生成的地址，我们也能准确实时分析。 据PeckShield统计，通过多笔交易，已有11.19个BTC流入了以1LZVz7开头的Bittrex交易所地址。

流入Bittrex交易所的关键路径图如上图所示。 如上所述，黑客已经采用了在流入交易所之前混币的方式。 因此，PeckShield安全人员判断，部分资金黑客可能并未直接转入交易所。 , 但以类似于异地 OTC 的方式进行清洗。

除了部分资金流入交易所外，截至目前，大部分被盗资金仍驻留在黑客地址内，PeckShield也在监控目标资金转账的进一步动向。

结语

PeckShield有理由相信usdt被盗的原因，这次的黑客应该是一个专业技术精湛的黑客团体。

从目标的选择，到链上+链下的长期跟踪和突破，该团伙着实下了一番功夫。 这似乎给一些早期投资加密货币并赚了很多钱的大佬们敲响了警钟，赚钱的时候不要被忽悠了，时刻有人在看着你。

虽然非对称加密私钥体系支持个人账户，以目前的计算机算力几乎不可能突破的链上防御工程，但对个人私钥的管理实际上是一种链下行为。 黑客可以利用一些旧的 SIM 卡攻击其中的一种。

俗话说“不怕贼偷，就怕贼想你”。

如果只知道链上地址，黑客需要经历数次轮回，持续数亿年才能尝试破解用户的私钥。 一旦用户在链上的地址和链下的身份相匹配，黑客进行攻击的方式也会不同。 无疑有成千上万种可能性。