事件背景
2022年11月23日,分布式资本创始人沈波发推文称,价值4200万美元的个人钱包资产被盗,其中包含 3800 万枚 USDC和1606 枚 ETH,在纽约时间 11 月 10 日凌晨被盗。被盗资产为个人资金,与分布式相关基金无关。目前已当地报案,FBI 与律师均已介入。
零时科技安全团队监控到此消息后,及时进行追踪分析。
- 注:沈波先生为以太坊早期投资人及以太坊早期布道者。分布式资本成立于 2015 年,是中国首家专注于投资区块链技术相关企业的风险投资企业。
事件分析
本次安全事件的受害者沈波先生的钱包地址为:
0x6be85603322df6DC66163eF5f82A9c6ffBC5e894
攻击者钱包地址为:
0x24b93eed37e6ffe948a9bdf365d750b52adcbc2e
被盗的38,233,180 枚USDC通过transfer函数直接转出,交易hash为:
0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7
被盗的1606 枚ETH交易hash为:
0xbc9ce2f860ee2af834662782d30452a97eb3654ecaf9c4d00291d1233912a3f5
随后攻击者将38,233,180 枚USDC兑换为DAI,交易hash为:
0x04c43669c930a82f9f6fb31757c722e2c9cb4305eaa16baafce378aa1c09e98e
将兑换的38,100,000枚DAI发送到了另一个地址,暂未转移,地址如下:
0x66f62574ab04989737228d18c3624f7fc1edae14
通过分析,发现接收DAI的地址
0x66f62574ab04989737228d18c3624f7fc1edae14
收到一笔来自
0x077d360f11d220e4d5d831430c81c26c9be7c4a4地址的0.1594个ETH手续费,而且通过零时科技虚拟币追溯分析平台标记0x077d360f11d220e4d5d831430c81c26c9be7c4a4为ChangeNow兑换平台地址,是攻击者用来掩盖交易痕迹的行为。
目前38,100,000枚DAI和1606枚ETH还在攻击者地址未转移,零时科技安全团队已经加入监控列表,持续跟踪资产转移动态。
事件总结
首先此次资产被盗事件是通过受害者钱包直接转移,所以疑似钱包私钥泄漏,然后攻击者及时将USDC兑换成DAI,目前暂时无法通过中心化机构进行冻结此笔资产。
接下来针对此次事件的资产追踪可做的工作如下:
- 第一、通过ChangeNow平台获取攻击者兑换ETH手续费的钱包地址进行溯源找到线索;
- 第二、同步实时监控攻击者地址的资产转移进行追踪;
- 第三、通过链上交易与攻击者取得联系;
零时科技安全团队会继续跟踪此次事件,也再次呼吁大家保管好自己私钥,提高安全意识,注意钱包和资产安全,有任何资产丢失的情况,第一时间与我们取得联系。