报告解读之 Ronin Network 安全事件及反洗钱分析

上一篇我们完整解读了，如果感兴趣或者有遗漏可以点击浏览。

本篇主要集中解读 Ronin Network 安全事件反洗钱分析及工具方法介绍。

事件背景

3 月 29 日，Axie Infinity 侧链 Ronin Network 发布社区预警 ，Ronin Network 出现安全漏洞，共 17.36 万枚 ETH 和 2550 万枚 USDC 被盗，损失超 6.1 亿美元。据官方发布的信息，攻击者使用被黑的私钥来伪造提款，仅通过两次交易就从 Ronin bridge 中抽走了资金。值得注意的是，黑客事件早在 3 月 23 日就发生了，但官方据称是在用户报告无法从 bridge 中提取 5k ETH 后才发现这次攻击。本次事件的损失甚至高于去年的 ，后者也窃取了超过 6 亿美元。

事情背景可追溯到去年 11 月，当时 Sky Mavis 请求 Axie DAO 帮助分发免费交易，由于用户负载巨大，Axie DAO 将 Sky Mavis 列入白名单，允许 Sky Mavis 代表其签署各种交易，该过程于 12 月停止。但是，对白名单的访问权限并未被撤销，这就导致一旦攻击者获得了 Sky Mavis 系统的访问权限，就能够通过 gas-free RPC 从 Axie DAO 验证器进行签名。Sky Mavis 的 Ronin 链由九个验证节点组成，其中至少需要五个签名来识别存款或提款事件。攻击者通过 gas-free RPC 节点发现了一个后门，最终攻击者设法控制了五个私钥，其中包括 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。美国调查机构认为朝鲜黑客组织 LAZARUS GROUP 是此事件的幕后黑手。

工具及方法

在正式开始反洗钱分析之前，先介绍一个高效的工具和一套有效应对复杂洗钱情况的分析方法。

基础工具 - MistTrack

（MistTrack 反洗钱追踪系统示例图）

MistTrack 反洗钱追踪系统是一套由慢雾科技创建的专注于打击加密货币洗钱活动的 SaaS 系统，具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。

• AML Risk Score

MistTrack 反洗钱追踪系统主要从地址所属实体、地址历史交易活动、慢雾恶意钱包地址库三方面为其计算 AML 风险评分。当地址所属实体为高风险主体（如混币平台）或地址与已知的风险主体存在资金来往时，系统会将该地址标记为风险地址。同时，结合慢雾恶意钱包地址库中的恶意地址数据集，对已核实的勒索、盗币、钓鱼欺诈等非法行为的涉案地址进行风险标记。

• Address Labels

MistTrack 反洗钱追踪系统积累了超 2 亿个钱包地址标签，地址标签主要包含 3 个分类：

（1）它归属于什么实体，如 Coinbase、Binance

（2）它的链上行为特征，如 DeFi 鲸鱼、MEV Bot 以及 ENS

（3）一些链下情报数据，如曾使用过 imToken/MetaMask 钱包

• Investigations

追踪和识别钱包地址上的加密资产流向，实时监控资金转移，将链上和链下信息整合到一个面板中，为司法取证提供强有力的技术支持。

（MistTrack 追踪分析示例图）

通过标记 1 千多个地址实体、2 亿多个地址标签，10 万多个威胁情报地址，以及超过 9000 万个与恶意活动相关的地址，MistTrack 为反洗钱分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查，MistTrack 在反洗钱分析评估工作中起到至关重要的作用。

拓展方法 - 数据分析

MistTrack 可以满足常见的反洗钱分析场景，而遇到复杂特殊的情况就需要其他的方法辅助分析。从区块链反洗钱资金态势中我们可以看到很多被黑事件发生后，在 ETH/BSC 链上的资金都不约而同地流向了一片灰暗之地——Tornado.Cash，Tornado.Cash 已成为 ETH/BSC 链上反洗钱的主战场。

新的洗钱手法需要新的分析方法，对 Tornado.Cash 转出分析的需求变得越来越普遍，此处我们将提出一个针对 Tornado.Cash 资金转出的分析方法：

• 记录目前已知的信息，已知信息包括转入 Tornado.Cash 总数，第一笔 Tornado.Cash 存款时间，第一笔 Tornado.Cash 存款的区块高度。

• 将参数填入我们准备的分析面板（https://dune.com/awesome/Tornado-withdraw-analysis）。

• 得到初步的 Tornado.Cash 提款数据结果，再使用特征分类的方式对数据结果做进一步筛选。

• 筛选后的结果是一批疑似黑客转出的结果集，取概率最高的结果集并对它进行验证。

• Tornado.Cash 转出分析结论。

（Dune Dashboard - Tornado.Cash 转出分析）

通过这个 Tornado.Cash 资金转出的分析方法，我们已成功分析出 Ronin Network 等多个安全事件从 Tornado.Cash 转出后的资金详情。

显而易见，这个 Tornado.Cash 资金转出的分析方法同样存在局限性：

转入 Tornado.Cash 的数量分类也是一个匿名集，资金量越大相应的匿名集数量越少，资金量越小则相反。所以对于资金量小的分析难度更大。

而在 BTC 链上，通过区块链反洗钱资金态势我们可以看到 ChipMixer 和 Blender 是黑客的常用洗钱平台。Blender 目前已被美国财政部制裁，站点已不可用，这里不再做进一步的探讨。

ChipMixer 流入洗钱资金量巨大，我们同样需要提出一个针对 ChipMixer 资金转出的分析方法。

• 识别 ChipMixer 的提款特征。

• 根据上述提款特征对相应时间段的结构化区块数据进行扫描和筛选，得到这个时间段内 ChipMixer 的提款记录。

• 对提款记录数据归类结果集，取概率最高的结果集并对它进行验证。

• ChipMixer 转出分析结论。

反洗钱分析详述

根据上述方法，针对 Ronin Network 安全事件做出以下分析：

黑客地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96（ETH 链）

被盗时间：3 月 23 日

损失统计：173,600 ETH、25,500,000 USDC

攻击手续费来源：SimpleSwap

资金转移：

（Ronin Bridge Exploiter 资金转移时间线）

ETH 资金转移：

黑客将攻击获利的 25,500,000 USDC 兑换为了 8,562.6801 ETH，所以黑客需要洗币的总额为 182,163.737 ETH（Binance 提款 1.0569 ETH + 攻击所得 173,600 ETH + 攻击兑换 USDC 所得 8,562.6801 ETH ）。

（Ronin Bridge Exploiter 资金转移图）

黑客获利资金流向主体详情如下表：

注：其他未做统计的流向资金为洗币过程损失。

Tornado.Cash 资金转移：

黑客总计转入 Tornado.Cash 175,100 ETH，经过分析，我们得出 Ronin 黑客从 Tornado.Cash 提款符合下列特征：从 Tornado.Cash 转出后直接或转移一层后使用 1inch 或 Uniswap 兑换为 renBTC，通过 renBTC 跨链到 BTC 链。

通过 Dune Analytics，我们将符合上述特征的 Tornado.Cash 提款和跨链到 BTC 链的数据筛选出来，并进行有效的可视化展示（https://dune.com/awesome/ronin-hacker-analysis），如下图：

（Ronin 黑客从 Tornado.Cash 转出后通过 renBTC 跨链数据）

根据上面的分析图，得到 Tornado.Cash 转出资金情况如下表：

注：数据有效时间截止于 7 月 20 日。