في عام 2023 ، شهدت صناعة Web3 أكثر من 940 حادثا أمنيا ، كبيرا وصغيرا ، والتي زادت بأكثر من 50٪ مقارنة بعام 2022 ، وخسرت 1.79 مليار دولار. من بينها ، شهد الربع الثالث أكبر عدد من الحوادث الأمنية (360 حالة) وأكبر خسارة (7.4) مليار دولار أمريكي) ، وزادت الخسائر بنسبة 47٪ عن عام 2022. وعلى وجه الخصوص، وقع 187 حادثا أمنيا في تموز/يوليه، وبلغت الخسائر 350 مليون دولار أمريكي.

الشكل: عدد الحوادث الأمنية الفصلية / الشهرية للويب 3 2023

الشكل: خسائر حوادث الأمان الفصلية / الشهرية لعام 2023 على الويب 3 (بالملايين من الدولارات)

أولاً، تظل الهجمات الهاكرية سببًا رئيسيًا للخسائر الكبيرة. كان هناك 216 حادث هاكر خلال عام 2023، مما تسبب في خسائر بقيمة 1.06 مليار دولار. لا تزال انتهاكات العقود، وسرقة المفتاح الخاص، وهجمات الاحتيال، والاختراق الوطني أسبابًا مهمة تهدد أمان نظام الويب3.

ثانيًا، الغدر والاحتيال على الخزينة في ازدياد. كان هناك 250 حالة غدر واحتيال في عام 2023، وكانت أكثر حالات التكرار في بنك العملات الافتراضية BNBChain. تجذب المشاريع الاحتيالية المستثمرين للمشاركة من خلال نشر مشاريع عملات رقمية تبدو جذابة على ما يبدو، وتوفير بعض السيولة الكاذبة. بمجرد جذب الأموال الكافية، يتم سرقة جميع الأموال فجأة ويتم تحويل الأصول. يسبب هذا النوع من الاحتيال خسائر مالية خطيرة للمستثمرين، ويزيد أيضًا بشكل كبير من صعوبة اختيار المشروع الصحيح للمستثمرين.

بالإضافة إلى ذلك، يتم تتبع استخدام العملات الرقمية في الفدية على نحو متزايد، مثل Lockbit و Conti و Suncrypt و Monti. العملات الرقمية أصعب تتبعاً من الأموال الورقية، وأصبح كيفية استخدام أدوات تحليل السلسلة في تتبع وتحديد مواقع عصابات الفدية أمراً أكثر أهمية أيضاً.

أخيرا ، في الأنشطة الإجرامية مثل هجمات قرصنة العملات المشفرة والابتزاز الاحتيالي ، غالبا ما يحتاج المجرمون إلى غسل الأموال من خلال تحويلات الأموال عبر السلسلة و OTC بعد الحصول على العملة المشفرة. عادة ما يستخدم غسيل الأموال مزيجا من الأساليب اللامركزية والمركزية. البورصات المركزية هي الأماكن الأكثر تركيزا لغسيل الأموال ، تليها منصات خلط العملات على السلسلة.

2023 هو أيضًا عام للتطور الكبير في تنظيم الويب3. تم إعادة تشغيل FTX2.0، وتم معاقبة Binance، وتم حظر عناوين USDT مثل حماس، ووافقت SEC على صندوق البيتكوين المتوقف في يناير 2024. تشير كل هذه الأحداث الرئيسية إلى أن التنظيم مشارك بشكل عميق في تطوير الويب3.

سيقوم هذا التقرير بإجراء تحليل منهجي لمواضيع رئيسية مثل هجوم القرصنة على ويب3 في عام 2023، الاحتيال بواسطة سحب السجادة، الفدية الإلكترونية، غسيل الأموال بالعملات الرقمية، تنظيم ويب3، إلخ، لفهم المشهد الأمني لتطوير صناعة العملات الرقمية.

1. ثغرات العقد

هاجمت الثغرات الأمنية في العقود بشكل رئيسي على إيثيريوم. في النصف الثاني من عام 2023، وقعت 36 هجومًا على الثغرات في العقود على إيثيريوم، بخسائر تصل إلى أكثر من 200 مليون دولار أمريكي، تليها BNBChain. من حيث طرق الهجوم، تظل العيوب في منطق الأعمال وهجمات القروض السريعة هي الأكثر شيوعًا.

الشكل: Web 3 2023 حوادث وخسائر القرصنة الفصلية (بملايين الدولارات)

الشكل: عدد ومبلغ الاستغلالات الشهرية والهجمات الإختراقية على الويب 3 2023H2

الشكل: عدد هجمات استغلال العقود ومبالغ الخسائر شهريًا في سلاسل Web 3 2023H2 المختلفة

الشكل: عدد ومبلغ الخسائر الناجمة عن ثغرة عقد الويب 3 2023H2 باستخدام طرق الهجوم الخاصة

تحليل الأحداث النموذجية: تتسبب ثغرات Vyper في مهاجمة مشاريع مثل Curve و JPEG'd

خذ تعرض JPEG'd للهجوم كمثال:

عنوان الهجوم: 0x6ec21d1868743a44318c3c259a6d4953f9978538

عقد الهجوم: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

عمليات الهجوم:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) قام المهاجمون (0x6ec21d18) بإنشاء عقد 0x466B85B4 واقترضوا 80،000 WETH من [Balancer: Vault] من خلال القروض الفلاش.

(2) قام المهاجمون (0x6ec21d18) بإضافة 40،000 WETH إلى حوض سيولة peth-ETH-F (0x9848482d) وحصلوا على 32،431 pETH.

(3) بعد ذلك ، قام المهاجمون (0x6ec21d18) بإزالة السيولة بشكل متكرر من مجمع السيولة peth-ETH-F (0x98482D).

(4) في النهاية، حصل المهاجمون (0x6ec21d18) على 86،106 WETH، وبعد إعادة القرض الفلاش، ترك ربح قدره 6،106 WETH السوق.

تحليل الضعف: هذا الهجوم هو هجوم إعادة الدخول النموذجي. تفكيك البايتكود لعقد مشروع الهجوم. يمكننا أن نرى من الشكل التالي: وظائف add_liquidity و remove_liquidity ليست هي نفسها عند التحقق من قيمة فتحة التخزين. باستخدام فتحة تخزين مختلفة، قد لا يعمل قفل إعادة الدخول. في هذه النقطة، يشتبه في أنه خطأ تصميم أساسي في Vyper.

جنبا إلى جنب مع تغريدة كيرف الرسمية. في النهاية ، كان الاستهداف خطأ في إصدار Vyper. توجد هذه الثغرة الأمنية في الإصدارات 0.2.15 و 0.2.16 و 0.3.0 ، وهناك عيب في تصميم قفل إعادة الدخول. نقارن 0.2.14 و 0.3.0 قبل 0.2.15 لاحقا ، في الإصدار 0.3.1 ، تم اكتشاف أن هذا الجزء من الكود يتم تحديثه باستمرار. لم يكن لدى الإصدارات القديمة 0.2.14 والأحدث 0.3.1 هذه المشكلة.

في ملف إعدادات الإعادة ذات الصلة بالقفل data_positions.py المقابل لـ Vyper، سيتم الكتابة فوق قيمة storage_slot. في الواقع، الفتحة التي اكتسبت القفل أولاً هي 0، ثم عند استدعاء الوظيفة مرة أخرى، ستزيد فتحة القفل بمقدار 1. في هذه النقطة، سينتهي القفل للإعادة.

II. هجمات الصيد الاحتيالي

هجمات الصيد الاحتيالي هي نوع من الهجمات الإلكترونية مصممة لخداع الأهداف وإقناعهم بالحصول على معلومات حساسة أو إجراء أفعال خبيثة. يتم تنفيذ هذا النوع من الهجوم عادةً عبر البريد الإلكتروني ووسائل التواصل الاجتماعي والرسائل القصيرة وغيرها من قنوات الاتصال الأخرى. يقوم المهاجمون بتنكر أنفسهم ككيانات موثوقة، مثل أطراف المشروع والسلطات والشخصيات المؤثرة وما إلى ذلك، لإغراء الضحايا بتقديم المفاتيح الخاصة أو الذاكرة أو تفويض العمليات. على غرار هجمات ثغرات العقود الذكية، أظهرت هجمات الصيد الاحتيالي ارتفاعًا كبيرًا في معدل الحدوث والخسائر الكبيرة في الربع الثالث. وقع مجموع 107 هجومات صيد احتيالي، منها 58 وقعت في يوليو.

الرقم: عدد الهجمات الاحتيالية والخسائر لكل ربع في الويب 3 2023 (ملايين الدولارات)

الشكل: عدد الهجمات الاحتيالية الشهرية على الويب 3 2023

تحليل عمليات نقل الأصول على السلسلة الجانبية للهجمات الاحتيالية النموذجية

في 7 سبتمبر 2023، تعرض العنوان (0x13e382) لهجوم احتيالي وفقد أكثر من 24 مليون دولار. استخدم القراصنة الاحتياليين سرقة الأموال، وتبادل الأموال، وتحويل الأموال اللامركزية. من الأموال المفقودة النهائية، تم تحويل 3،800 ETH إلى Tornado.Cash بدفعات، وتم تحويل 10،000 ETH إلى عنوان وسيط (0x702350)، وتبقى 1078،087 DAI في العنوان الوسيط (0x4F2F02).

هذا هو هجوم احتيالي نموذجي. من خلال سرقة أصول المستخدمين عن طريق احتيال التراخيص الخاصة بالمحافظ أو المفاتيح الخاصة، شكل المهاجمون سلسلة صناعية سوداء من الاحتيال + غسيل الأموال. حاليًا، يستخدم مزيد من عصابات الاحتيال وحتى الهاكرز الوطنيون أساليب الاحتيال لارتكاب جرائم في مجال Web3، مما يتطلب انتباه ويقظة الجميع.

وفقًا لمنصة تحليل البيانات الكبيرة على السلسلة الرقمية لشركة SharkTeam ChainAegis (https://app.chainaegis.com/)في التحليل التالي، سنحلل عملية الاحتيال في الهجمات الاحتيالية النموذجية، وتحويل الأموال، وسلوك المحتالين على السلسلة الكتلية.

(1) عملية الاحتيال بالتصيّد الاستهدافي

يمنح عنوان الضحية (0x13e382) rETH و stETH لعنوان المحتال 1 (0x4c10a4) عبر "زيادة البدل".

قام عنوان المحتال 1 (0x4c10a4) بتحويل 9،579 stETH من حساب عنوان الضحية (0x13e382) إلى عنوان المحتال 2 (0x693b72) بمبلغ حوالي 15.32 مليون دولار.

تم نقل عنوان النصاب 1 (0x4c10a4) 4،850 rETH من حساب عنوان الضحية (0x13e382) إلى عنوان النصاب 2 (0x693b72) بمبلغ يقدر بحوالي 8.41 مليون دولار.

(2) تبادل الأصول والتحويل

تبادل stETH المسروقة و rETH ل ETH. بدءا من الصباح الباكر من 2023-09-07 ، نفذ عنوان المخادع 2 (0x693b72) معاملات تبادل متعددة على منصات UniSwapV2 و UniSwapv3 و Curve على التوالي ، حيث تبادل جميع 9,579 stETH و 4,850 rETH إلى ETH ، ليصبح المجموع 14,783.9413 ETH.

تبادل stETH:

تبادل rETH:

تبادل بعض ETH ل DAI. تبادل عنوان المخادع 2 (0x693b72) 1,000 ETH مقابل 1,635,047.761675421713685327 عبر منصة UniSwapv3 DAI. استخدم المحتالون تحويلات الأموال اللامركزية إلى عناوين محفظة وسيطة متعددة ، بلغ مجموعها 1,635,139 DAI و 13,785 ETH. من بين هؤلاء ، تم نقل 1,785 ETH إلى عنوان وسيط (0x4F2F02) ، وتم نقل 2,000 ETH إلى عنوان وسيط (0x2ABDC2) ، وتم نقل 10,000 ETH إلى عنوان وسيط (0x702350). بالإضافة إلى ذلك ، تلقى العنوان الوسيط (0x4F2F02) 1,635,139 DAI في اليوم التالي

عنوان المحفظة الوسيط (0x4F2F02) تحويل الأموال:

تمر العنوان بتحويل أموال مرتبط بالطبقات ويحتوي على 1,785 ETH و 1,635,139 DAI. تحويل الأموال اللامركزية DAI، وتحويل الكميات الصغيرة إلى ETH

في البداية، بدأت عمليات الاحتيال بتحويل 529,000 داي من خلال 10 معاملات في الصباح الباكر من 2023-09-07. وبعد ذلك، تم تحويل أول 7 مجموع 452,000 داي من العنوان الوسيط إلى 0x4E5B2E (fixedFloat)، الثامن، من العنوان الوسيط إلى 0x6CC5F6 (OKX)، والأخير 2 مجموع 77,000 داي تم تحويلها من العنوان الوسيط إلى 0xF1DA17 (exCH).

ثانياً، في 10 سبتمبر، تم تبادل 28،052 داي مقابل 17.3 إيثريوم عبر يونيسوابV2.

من 8 سبتمبر إلى 11 سبتمبر، تمت 18 عملية تداول، وتم تحويل كل من 1,800 ETH إلى Tornado.Cash.

بعد التحويل ، ترك العنوان في النهاية الأموال المسروقة 1078,087 DAI التي لم يتم تحويلها.

نقل الأموال إلى عنوان وسيط (0x2ABDC2):

تم نقل العنوان من خلال طبقة من الأموال ولديه 2000 ETH. أولا ، نقل العنوان 2000ETH إلى عنوان وسيط (0x71C848) في 11 سبتمبر.

قامت العنوان الوسيط (0x71C848) بنقل الأموال من خلال عمليتي تحويل أموال في 11 سبتمبر و1 أكتوبر على التوالي، بإجمالي 20 عملية، 100 ETH لكل عملية، بإجمالي 2000 ETH إلى Tornado.Cash.

تم نقل العنوان من خلال طبقة من الأموال ويحتوي على 10،000 ETH. حتى 08 أكتوبر 2023، لم يتم نقل 10،000 ETH إلى حساب هذا العنوان.

تتبع دليل العنوان: بعد تحليل المعاملات التاريخية لعنوان النصب 1 (0x4c10a4) وعنوان النصب 2 (0x693b72)، تم اكتشاف أن عنوان EOA (0x846317) قد قام بتحويل 1.353 ETH إلى عنوان النصب 2 (0x693b72)، ومصدر تمويل هذا العنوان EOA يشمل عناوين المحافظ الساخنة للصرف المركزي KuCoin و Binance.

III. انتزاع السجادة والاحتيال

أظهرت تردد حالات الاحتيال بنمط Rugpull في عام 2023 اتجاهًا صاعدًا كبيرًا. وصل الربع الرابع إلى 73 حالة، بمبلغ خسارة قدره 19 مليون دولار أمريكي، مع متوسط خسارة فردية يبلغ حوالي 26,000 دولار أمريكي. الربع الذي شهد أعلى حصة من خسائر الاحتيال بنمط Rugpull في العام كان الربع الثاني، تلاه الربع الثالث، الذي بلغ أكثر من 30% من الخسائر.

في النصف الثاني من عام 2023، كان هناك مجموع 139 حادثًا لسحب البساط و 12 حادثًا للتزوير، مما أسفر عن خسائر بقيمة 71.55 مليون دولار و 340 مليون دولار على التوالي.

حدثت الأحداث الخاصة بـ Rugpull بشكل رئيسي على BNBChain في النصف الثاني من عام 2023، بلغت 91 مرة، مما يمثل أكثر من 65٪، والخسائر بلغت 29.57 مليون دولار، مما يمثل 41٪ من الخسائر. تبع ذلك Ethereum (44 مرة)، بخسارة قدرها 7.39 مليون دولار. بالإضافة إلى Ethereum و BNBChain، حدثت حادثة BALD Rugpull على Base Chain في أغسطس، مما تسبب في خسائر جسيمة بقيمة 25.6 مليون دولار.

الشكل: عدد حوادث وخسائر Rugpull و Scam في الربع ل Web 3 2023 (بملايين الدولارات)

الشكل: عدد حالات الاحتيال والخسائر الناجمة عن الاحتيال لكل شهر على الويب 3 2023H2

الشكل: عدد حالات الاحتيال الشهري ومبالغ الخسارة في سلاسل Web 3 2023H2 المختلفة

تحليل سلوك مصنع الاحتيال Rugpull

نموذج مصنع الاحتيال بالبساطة شائع على BNBChain لتصنيع توكنات Rugpull بكميات كبيرة و com يرتكب الاحتيال. دعونا نلقي نظرة على نمط احتيال مصنع Rugpull لتوكنات SEI و X و TIP و Blue المزيفة.

(1) SEI

أولاً، قام حامل الرمز SEI المزيف 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 بتبادل 249 SEI مزيفة مقابل 1U.

ثم، أجرت 0x6f9963448071b88fb23fd9971d24a87e5244451A عمليات شراء وبيع بالجملة. تحت عمليات الشراء والبيع، زادت سيولة الرمز بشكل ملحوظ، وزاد السعر أيضًا.

من خلال الاحتيال وغيرها من طرق الترويج، يتم جذب عدد كبير من المستخدمين للشراء. مع زيادة السيولة، يتضاعف سعر الرمز.

عندما يصل سعر الرمز المميز إلى قيمة معينة ، يدخل مالك الرمز المميز السوق ويبيع لإجراء عملية Rugpull. كما يتضح من الصورة أدناه ، تختلف فترة حصاد الدخول والسعر.

(2) X مزيفة، TIP مزيفة، Blue مزيفة

أولا ، 0x44A028DAE3680697795a8d50960c8c155cbc0d74 تبادل حاملي الرمز المميز X و TIP و Blue 1U للرمز المميز المقابل. ثم ، تماما مثل رمز Sei المزيف.

عمليات شراء وبيع بالجملة. تحت عمليات الشراء والبيع، زادت السيولة بشكل كبير، وارتفعت الأسعار.

ثم تم الترويج له من خلال الاحتيال والقنوات الأخرى لجذب عدد كبير من المستخدمين لإجراء عمليات شراء. مع زيادة السيولة، تضاعف سعر الرمز الرقمي.

مثل SEI المزيفة، عندما يصل سعر الرمز إلى قيمة معينة، يدخل مالك الرمز إلى السوق للبيع والقيام بعملية Rugpull. كما يمكن رؤية من الصورة أدناه، فإن فترة حصاد الإدخال والسعر مختلفة تمامًا.

مخطط التذبذب لرموز SEI المزيفة و X المزيفة و TIP المزيفة والرموز الزرقاء المزيفة هي كما يلي:

يمكننا التعلم من قابلية تتبع الأموال وأنماط السلوك:

في محتوى تتبع الصندوق، تأتي أموال مبتكر مصنع العملات المشفرة ومبتكر الرموز من حسابات EOA متعددة. هناك أيضًا معاملات مالية بين حسابات مختلفة. بعضها يتم نقلها من خلال عناوين احتيالية، وبعضها يتم الحصول عليها من خلال رموز Rugpull السابقة، والبعض الآخر يتم الحصول عليه من خلال منصات مختلطة مثل Tornado Cash. يهدف نقل الأموال بطرق متنوعة إلى بناء شبكات مالية معقدة ومعقدة. كما أن العناوين المختلفة قد أنشأت عقود مصنع الرموز المتعددة وأنتجت رموزًا بكميات كبيرة.

عند تحليل سلوك رمز Rugpull، وجدنا العنوان

0x6f9963448071b88fb23fd9971d24a87e5244451a هو أحد مصادر التمويل. يتم أيضًا استخدام طريقة الدُفعة للتلاعب في أسعار الرموز. يعمل العنوان 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 أيضًا كمزود تمويل، ويوفر تمويلًا مقابلًا لحاملي الرموز المتعددين.

من خلال التحليل ، يمكن ملاحظة أنه وراء هذه السلسلة من الأفعال ، هناك عصابة احتيال Web3 مع تقسيم واضح للعمل ، وتشكيل سلسلة صناعية سوداء. وهو ينطوي بشكل أساسي على جمع النقاط الساخنة ، والإصدار التلقائي للعملات المعدنية ، والتداول الآلي ، والدعاية الكاذبة ، وهجمات التصيد الاحتيالي ، وحصاد Rugpull ، والتي حدثت في الغالب في BNBChain. ترتبط جميع رموز Rugpull المزيفة الصادرة ارتباطا وثيقا بالأحداث الساخنة في الصناعة ، وهي مربكة ومشجعة للغاية. يجب أن يكون المستخدمون دائما في حالة تأهب وأن يكونوا عقلانيين وأن يتجنبوا الخسائر غير الضرورية.

IV. برامج الفدية

تستمر تهديدات هجمات الفدية في عام 2023 في التهديد بشكل مستمر المؤسسات والشركات. تصبح هجمات الفدية أكثر تطورًا، ويستخدم المهاجمون مجموعة متنوعة من التقنيات لاستغلال الثغرات في أنظمة وشبكات المؤسسات. تستمر هجمات الفدية المتزايدة في تشكيل تهديدًا كبيرًا على منظمات الأعمال والأفراد والبنية التحتية الحيوية في جميع أنحاء العالم. يقوم المهاجمون باستمرار بالتكيف وتنقيح استراتيجيات هجومهم، باستخدام الشفرة المصدرية المسربة ومخططات الهجوم الذكية ولغات البرمجة الناشئة لزيادة أرباحهم غير القانونية.

LockBit، ALPHV/BlackCat، وBlackBasta هي حاليًا أكثر منظمات الفدية النشطة.

الشكل: عدد ضحايا منظمات الابتزاز

حاليًا، يستخدم المزيد والمزيد من برامج الفدية الرقمية طرق الدفع بالعملات الرقمية. خذ Lockbit كمثال. الشركات التي تعرضت مؤخرًا لهجمات Lockbit تشمل TSMC في نهاية يونيو هذا العام، بوينج في أكتوبر، والشركة التابعة بالكامل للبنك الصناعي والتجاري الصيني في نوفمبر. معظمهم يستخدمون البيتكوين لجمع فدية، وسيقوم LockBit بغسل الأموال الرقمية بعد استلام الفدية. دعونا نحلل نموذج غسيل الأموال لبرامج الفدية باستخدام Lockbit كمثال.

وفقًا لتحليل ChainAegis، يستخدم فيروس الفدية LockBit بشكل رئيسي BTC لجمع الفديهات، باستخدام عناوين دفع مختلفة. تم ترتيب بعض العناوين ومبالغ الدفع على النحو التالي. البيتكوين في ابتزاز واحد تراوح بين 0.07 إلى 5.8، تتراوح قيمتها من حوالي 2,551 دولارًا إلى 211,311 دولارً.

الشكل: عنوان الدفع الجزئي ل LockBit ومبلغ الدفع

تم إجراء تتبع العناوين على السلسلة وتحليل مكافحة غسيل الأموال باستخدام العنوانين ذوي المبالغ الأعلى المتورطة:

عنوان إيصال الفدية 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

عنوان مستلم الفدية 2: 1hpz7rny3kbjeuurhkhivwdrnwaasgvvph.

(1) عنوان مجموعة برامج الفدية 1: 1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

وفقًا للتحليل أدناه، تلقى العنوان 1 (1Ptfhw) مجموع 17 عملية تحويل على السلسلة الرئيسية من 25 مارس 2021 إلى 15 مايو 2021. بعد استلام الأموال، تم تحويل الأصول بسرعة إلى 13 عنوانًا وسيطًا أساسيًا. يتم تحويل هذه العناوين الوسيطة من خلال طبقة التمويل إلى 6 عناوين وسيطة من الدرجة الثانية، وهي: 3fVzPx… cuVH، 1gVKmU… Bbs1، bc1qdse… ylky، 1gucci… vSGB، bc1qan… 0ac4، و 13CPvF… Lpdp.

تم اكتشاف عنوان الوسيط 3fVzPx… cuvH، من خلال التحليل على السلسلة، أن تدفقه النهائي كان إلى عنوان الويب الداكن 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P.

تم تحويل كمية صغيرة قدرها 0.00022 BTC من العنوان الوسيط 13cPVf... Lpdp إلى CoinPayments. كانت هناك 500 معاملة مماثلة، وتم جمع مجموع قدره 0.21 BTC إلى عنوان CoinPayments: bc1q3y... 7y88 لغسيل الأموال باستخدام CoinPayments.

انتهت عناوين الوسيط الأخرى بالتدفق إلى بورصات مركزية Binance وBitfinex.

الشكل: العنوان 1 (1Ptfhw… hPEM) تفاصيل مصادر التمويل والتدفق النقدي

الشكل: تتبع تدفق الأموال لعنوان 1 (1Ptfhw… hPem)

الشكل: تفاصيل العناوين الوسيطة وتدفقات الأموال المعنية في العنوان 1 (1Ptfhw… hPEM)

الشكل: العنوان 1 (1Ptfhw… hPEM) خريطة المعاملات

(2) عنوان إيصال الابتزاز 2: 1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

دفع الضحية 4.16 بتكوين إلى مشغل الفدية LockBit في 11 معاملة بين 24 مايو 2021 و 28 مايو 2021. على الفور، قامت العنوان 2 (1hpz7rn… vVPH) بتحويل 1.89 بتكوين من أموال الفدية بسرعة إلى العنوان الوسيط 1: bc1qan… 0ac4، 1.84 إلى العنوان الوسيط 2:112qjqj… Sdha، 0.34 يتجه العنصر إلى العنوان الوسيط 3:19Uxbt… 9rdF.

عنوان الوسيط النهائي 2: 112qJqj… Sdha وعنوان الوسيط 3: 19Uxbt… 9rdF قاما بنقل الأموال إلى عنوان وسيط 1: bc1qan… 0ac4. مباشرة بعد ذلك، واصل عنوان الوسيط 1 bc1qan… 0ac4 نقل الأموال. تم نقل جزء صغير من الأموال مباشرة إلى منصة تبادل Binance، وتم نقل الجزء الآخر من الأموال طبقة بطبقة من خلال العنوان الوسيط، وتم نقلها في النهاية إلى منصة Binance ومنصات أخرى لغسيل الأموال. تفاصيل العملية وعلامات العنوان الخاصة بالمعاملة محددة كالتالي.

الشكل: العنوان 2 (1hpz7rn… vVPH) مصادر التمويل وتفاصيل التدفق النقدي

الشكل: تتبع تدفق الأموال لعنوان 2 (1hpz7rn… vVPH)

الشكل: تفاصيل العناوين الوسيطة وتدفقات الأموال المتورطة في العنوان 2 (1hpz7rn… vVPH)

سيقوم LockBit بغسل أموال العملات الرقمية بعد استلام الفدية. على عكس الأساليب التقليدية لغسل الأموال، يحدث هذا النموذج من غسل الأموال عادةً على البلوكشين. لديه خصائص دورة زمنية طويلة، وأموال مبعثرة، وتشغيل عالٍ، وتعقيد عالٍ. لتنفيذ الرقابة على العملات الرقمية وتتبع الأموال، من الضروري بناء قدرات التحليل والتحقيق على البلوكشين وخارجه، ومن ناحية أخرى، من الضروري تنفيذ هجمات أمان على مستوى الشبكة على مستوى الهجمات APT والدفاع عنها، مع القدرة على دمج الهجوم والدفاع.

5. غسيل الأموال

عملية غسيل الأموال (غسيل الأموال) هي عملية تشريع العائدات غير القانونية. وتشير في الغالب إلى تشريع العائدات غير القانونية بشكل رسمي والعائدات التي تم إنشاؤها من خلال إخفاء أصل وطبيعة العائدات غير القانونية من خلال وسائل مختلفة. تشمل هذه الأفعال، على سبيل المثال لا الحصر، توفير حسابات مالية، ومساعدة في تحويل أشكال الممتلكات، والمساعدة في تحويل الأموال أو تحويلها إلى الخارج. ومع ذلك، تم استخدام العملات الرقمية — خاصة العملات المستقرة — في عمليات غسيل الأموال لفترة طويلة بسبب تكاليف نقلها المنخفضة، وعدم التحديد المكاني، وبعض الخصائص المقاومة للرقابة، وهو أحد الأسباب الرئيسية التي تم انتقادها فيها العملات الرقمية.

غالبًا ما تستخدم أنشطة غسيل الأموال التقليدية سوق العملات الرقمية الخارجية لتبادل العملات الورقية بالعملات الرقمية، أو من العملات الرقمية إلى العملات الورقية. من بينها، تختلف سيناريوهات غسيل الأموال وتتنوع الأشكال، ولكن بغض النظر عن طبيعة هذه الأعمال، فإنها تهدف إلى منع التحقيق في روابط رأس المال من قبل المسؤولين في إنفاذ القانون، بما في ذلك حسابات المؤسسات المالية التقليدية أو حسابات المؤسسات التشفيرية.

على عكس أنشطة غسيل الأموال التقليدية، فإن هدف نوع جديد من أنشطة غسيل الأموال بالعملات الرقمية هو العملة الرقمية نفسها، وسيتم استخدام بنية الصناعة الرقمية، بما في ذلك المحافظ، والجسور العابرة للسلاسل، ومنصات التداول اللامركزية، بطرق غير قانونية.

الشكل: كمية الأموال المغسولة في السنوات الأخيرة

من عام 2016 إلى عام 2023، تم غسل مبلغ إجمالي قدره 147.7 مليار دولار من العملات الرقمية. منذ عام 2020، استمر ازدياد مبلغ الأموال المغسولة بمعدل 67% سنويًا، ليصل إلى 23.8 مليار دولار في عام 2022، ويصل إلى 80 مليار دولار في عام 2023. كمية الأموال المغسولة مدهشة، وتعتبر الإجراءات المتعلقة بمكافحة غسيل الأموال أمرًا لازمًا.

وفقا لإحصاءات من منصة ChainAegis ، حافظ مقدار الأموال على منصة خلط العملات على السلسلة Tornado Cash على نمو سريع منذ يناير 2020. حاليا ، تم وضع ما يقرب من 3.62 مليون ودائع ETH في مجمع الصناديق هذا ، بإجمالي إيداع قدره 7.8 مليار دولار أمريكي. أصبح Tornado Cash أكبر مركز لغسيل الأموال في Ethereum. ومع ذلك ، نظرا لأن وكالة إنفاذ القانون الأمريكية أصدرت وثيقة تفرض عقوبات على Tornado Cash في أغسطس 2022 ، انخفض عدد عمليات الإيداع والسحب الأسبوعية ل Tornado Cash بشكل كبير ، ولكن نظرا للطبيعة اللامركزية ل Tornado Cash ، كان من المستحيل إيقافها عند المصدر ، واستمرت الأموال في التدفق إلى النظام لخلط العملات المعدنية.

تحليل نموذج غسيل الأموال لمجموعة لازاروس (منظمة APT الكورية الشمالية)

تعد منظمات APT الوطنية (التهديد المستمر المتقدم) من أفضل مجموعات القراصنة التي تتمتع بدعم الخلفية الوطنية التي تستهدف أهدافا محددة لفترة طويلة من الزمن. منظمة APT الكورية الشمالية Lazarus Group هي عصابة APT نشطة للغاية. الغرض الرئيسي من الهجوم هو سرقة الأموال ، والتي يمكن أن يطلق عليها أكبر تهديد للمؤسسات المالية العالمية. إنهم مسؤولون عن العديد من الهجمات وحالات سرقة رأس المال في قطاع العملات المشفرة في السنوات الأخيرة.

الحوادث الأمنية والخسائر الناتجة عن هجمات لازاروس على مجال العملات الرقمية التي تم حسابها بوضوح حتى الآن هي كما يلي:

سرق لازاروس أكثر من 3 مليارات دولار أمريكي من الأموال في هجوم إلكتروني. وفقا للتقارير ، فإن مجموعة القراصنة Lazarus مدعومة بالمصالح الاستراتيجية لكوريا الشمالية لتمويل برامج كوريا الشمالية النووية والصاروخية الباليستية. تحقيقا لهذه الغاية ، أعلنت الولايات المتحدة عن مكافأة قدرها 5 ملايين دولار لمعاقبة مجموعة قراصنة Lazarus. كما أضافت وزارة الخزانة الأمريكية عناوين ذات صلة إلى قائمة مكتب مراقبة الأصول الأجنبية للمواطنين المعينين بشكل خاص (SDN)، مما يحظر على الأفراد والكيانات الأمريكية والعناوين ذات الصلة من التداول لضمان عدم قدرة الجماعات التي تمولها الدولة على استرداد هذه الأموال، وبالتالي فرض عقوبات. حكم على مطور Ethereum Virgil Griffith بالسجن لمدة 5 سنوات و 3 أشهر لمساعدة كوريا الشمالية على التهرب من العقوبات باستخدام العملة الافتراضية. في عام 2023، فرض مكتب مراقبة الأصول الأجنبية أيضا عقوبات على ثلاثة أشخاص مرتبطين بمجموعة لازاروس. كان اثنان من الخاضعين للعقوبات، تشنغ هونغ مان ووو هويهوي، من متداولي OTC الذين سهلوا معاملات العملات المشفرة لشركة Lazarus، في حين قدم طرف ثالث، Sim Hyon Sop، دعما ماليا آخر.

على الرغم من ذلك ، أكملت Lazarus أكثر من 1 مليار دولار في عمليات نقل الأصول وتنظيفها ، ويتم تحليل نموذج غسيل الأموال الخاص بها أدناه. خذ حادثة المحفظة الذرية كمثال. بعد إزالة المعطل الفني الذي حدده المتسلل (عدد كبير من معاملات تحويل الرمز المميز المزيفة + تقسيمات عناوين متعددة) ، يمكن الحصول على نموذج تحويل أموال المتسلل:

الشكل: عرض تحويل الأموال لضحية محفظة أتوميك 1

الضحية 1 يحول 304.36 ETH من العنوان 0xb02d... c6072 إلى عنوان الهاكر 0x3916... 6340، وبعد 8 دفعات من خلال العنوان الوسيط 0x0159... 7b70، يعود إلى العنوان 0x69ca... 5324. تم تحويل الأموال المجمعة منذ ذلك الحين إلى العنوان 0x514c... 58f67. حاليًا، الأموال ما زالت في هذا العنوان، ورصيد العنوان من ETH هو 692.74 ETH (بقيمة 1.27 مليون دولار).

الشكل: عرض تحويل الأموال لضحية محفظة Atomic 2

تم تحويل 1,266,000 دولار أمريكي من الضحية 2 من العنوان 0x0b45... d662 إلى عنوان القراصنة 0xf0f7... 79b3. قام القراصنة بتقسيمها إلى ثلاث معاملات، اثنتان منها تم تحويلهما إلى يونيسواب، بإجمالي قدره 1,266,000 دولار أمريكي؛ وتم تحويل المبلغ الآخر إلى العنوان 0x49ce… 80fb، بمبلغ تحويل يبلغ 672.71 إيثريوم. قام الضحية 2 بتحويل 22,000 دولار أمريكي إلى عنوان القراصنة 0x0d5a… 08c2. قام القراصنة مباشرة أو غير مباشرة بجمع الأموال إلى العنوان 0x3c2e… 94a8 من خلال دفعات متعددة من خلال عناوين وسيطة مثل 0xec13... 02d6، وما إلى ذلك.

هذا النموذج لغسيل الأموال متطابق تمامًا مع نموذج غسيل الأموال السابق في شبكة رونين وهجمات هارموني، وتتضمن جميعها ثلاث خطوات:

(1) توحيد الأموال المسروقة وتبادلها: بعد إطلاق الهجوم ، يتم فرز الرموز المسروقة الأصلية ، ويتم تبديل الرموز المميزة المختلفة إلى ETH من خلال DEX وطرق أخرى. هذه طريقة شائعة للتحايل على تجميد الأموال.

(2) تجميع الأموال المسروقة: جمع الـ ETH المُرتب في عدة عناوين محفظة قابلة للتخلص. في حادثة Ronin، قام الهاكرز بمشاركة 9 عناوين من هذا النوع، في حين استخدمت Harmony 14 عنوانًا، واستخدمت حادثة محفظة Atomic Wallet ما يقرب من 30 عنوانًا.

(3) تحويل الأموال المسروقة: استخدام عنوان الجمع لغسل الأموال من خلال Tornado.Cash. يكمل هذا العملية كاملة لنقل الأموال.

بالإضافة إلى وجود نفس خطوات غسيل الأموال، هناك أيضًا درجة عالية من التناسق في تفاصيل غسيل الأموال:

(1) المهاجمون صبورون جدًا. استخدموا جميعًا ما يصل إلى أسبوع لتنفيذ عمليات غسيل الأموال، وجميعهم بدأوا عمليات غسيل الأموال التكميلية بعد عدة أيام من وقوع الحادث.

(2) يتم استخدام المعاملات الآلية في عملية غسيل الأموال. معظم إجراءات جمع الأموال تحتوي على عدد كبير من المعاملات، وفترات زمنية قصيرة، ونموذج موحد.

من خلال التحليل، نعتقد أن نموذج غسيل الأموال لـ لازاروس يكون عموما كما يلي:

(1) تقسيم الحسابات ونقل الأصول بمبالغ صغيرة وعدة معاملات لجعل التتبع أكثر صعوبة.

(2) ابدأ في تصنيع عدد كبير من عمليات تزوير العملات لجعل التتبع أكثر صعوبة. على سبيل المثال، كانت 23 من إجمالي 27 عنوانًا وسيطًا عناوين جميعها عناوين تحويل عملات مزورة في حادثة محفظة Atomic. تم اكتشاف تكنولوجيا مماثلة مؤخرًا في تحليل حادثة Stake.com، ولكن لم تكن لدى حوادث الشبكة السابقة Ronin وHarmony هذه التكنولوجيا التدخلية، مما يشير إلى أن تقنية غسيل الأموال التي تستخدمها لازاروس قد تم ترقيتها أيضًا.

(3) يتم استخدام المزيد من الطرق على السلسلة (مثل Tonado Cash) لخلط العملات. في الحوادث الأولية، كان لـ Lazarus غالبًا ما يستخدم التبادلات المركزية للحصول على رأس المال الابتدائي أو إجراء عمليات OTC لاحقة، ولكن في الآونة الأخيرة، تم استخدام التبادلات المركزية أقل وأقل، ويمكن حتى أن يُعتبر أنهم يحاولون تجنب استخدام التبادلات المركزية قدر الإمكان. يجب أن يكون هذا مرتبطًا بعدة حوادث عقوبات حديثة.

VI. العقوبات والتنظيم

تعتمد الوكالات مثل مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية ووكالات مماثلة في بلدان أخرى على فرض عقوبات ضد البلدان والأنظمة والأفراد والكيانات التي يعتبر أنها تشكل تهديدًا للأمن القومي والسياسة الخارجية. وتعتمد تنفيذ العقوبات تقليديًا على تعاون المؤسسات المالية الرئيسية، ولكن بعض العناصر السيئة لجأت إلى العملات الرقمية لتفادي هذه الوسطاء الوسيطة الثالثة، مما يخلق تحديات جديدة لصانعي السياسات والوكالات المفروضة للعقوبات. ومع ذلك، فإن الشفافية الأساسية للعملات الرقمية، والرغبة في الامتثال لخدمات العملات الرقمية، وخصوصا العديد من البورصات المركزية التي تعمل كوصلة بين العملات الرقمية والعملات القانونية، أثبتت أن فرض العقوبات ممكن في عالم العملات الرقمية.

نلقي نظرة على بعض الأفراد أو الكيانات المرتبطة بالعملات الرقمية التي تمت معاقبتها في الولايات المتحدة في عام 2023، وأسباب العقوبات الصادرة عن مكتب مراقبة الأصول الأجنبية.

أعلنت Tether، الشركة التي تقف وراء أكبر عملة مستقرة في العالم، في 9 ديسمبر 2023، أنها ستقوم بـ"تجميد" الرموز في محافظ الأفراد المعاقبين وفقًا لقائمة الأفراد المعاقبين التابعة لمكتب السيطرة على الأصول الأجنبية (OFAC) الأمريكي. في إعلانها، رأت Tether الخطوة كخطوة طوعية لـ"منع أي احتمال لسوء استخدام رمز Tether المحتمل وتعزيز التدابير الأمنية."

وهذا يدل أيضا على أن التحقيق في جرائم العملات المشفرة ومعاقبتها قد دخل مرحلة كبيرة. يمكن أن يشكل التعاون بين المؤسسات الأساسية ووكالات إنفاذ القانون عقوبات فعالة لمراقبة جرائم العملات المشفرة ومعاقبتها.

فيما يتعلق بتنظيم Web3 في عام 2023 ، حققت هونغ كونغ أيضا تقدما هائلا ، وهي تدق البوق من أجل "التطوير المتوافق" لأسواق Web3 والعملات المشفرة. عندما بدأت سلطة النقد في سنغافورة في تقييد عملاء التجزئة من استخدام الرافعة المالية أو الائتمان لمعاملات العملة المشفرة في عام 2022 ، أصدرت حكومة منطقة هونغ كونغ الإدارية الخاصة "إعلان سياسة بشأن تطوير الأصول الافتراضية في هونغ كونغ" ، وذهبت بعض مواهب وشركات Web3 إلى أرض موعودة جديدة.

في 1 يونيو 2023، أوفت هونغ كونغ بالإعلان وأصدرت "الإرشادات لمشغلي منصات تداول الأصول الافتراضية". تم تنفيذ نظام ترخيص منصة تداول الأصول الافتراضية رسميًا، وتم إصدار تراخيص الفئة 1 (تداول الأوراق المالية) والفئة 7 (تقديم خدمات التداول الآلي).

حالياً، تقوم المؤسسات مثل OKX، BGE، HKBiteX، HKVAX، VDX، Meex، PantherTrade، VAEX، Accumulus، وDFX Labs بتقديم طلبات بنشاط للحصول على تراخيص منصات تداول الأصول الافتراضية (VASP).

تحدث المدير التنفيذي لي جياشاو ووزير المالية تشين ماوبو وغيرهما بشكل متكرر نيابة عن حكومة هونغ كونغ لدعم إطلاق Web3 في هونغ كونغ وجذب شركات العملات الرقمية والمواهب من جميع أنحاء العالم للبناء. فيما يتعلق بدعم السياسات، قدمت هونغ كونغ نظام ترخيص لمقدمي خدمات الأصول الافتراضية، الذي يسمح للمستثمرين التجزئة بتداول العملات الرقمية، وأطلقت صندوق بقيمة 10 مليون دولار لنظام Web3 Hub البيئي، وتخطط للاستثمار أكثر من 700 مليون دولار هونغ كونغ لتسريع تطوير الاقتصاد الرقمي وتعزيز تطوير صناعة الأصول الافتراضية. كما أنشأت فريق عمل مهمة تطوير Web 3.0.

ومع ذلك، عندما كانت تحدث تقدمات كبيرة، استفادت الأحداث الخطرة أيضًا من الزخم. تورطت بورصة العملات الرقمية غير المرخصة JPEX في أكثر من مليار هونج كونج، وتورطت قضية الاحتيال HOUNAX في أكثر من 100 مليون يوان، وشكت الهيئة الظاهرية HongKongDAO و BitCuped بالاحتيال على الأصول الافتراضية... لقد جذبت هذه الحوادث الخبيثة انتباهًا كبيرًا من لجنة الرقابة على الأوراق المالية في هونج كونج والشرطة. وقالت لجنة الرقابة على الأوراق المالية في هونج كونج إنها ستقوم بوضع إرشادات تقييم المخاطر لحالات الأصول الافتراضية بالتعاون مع الشرطة وتبادل المعلومات على أساس أسبوعي.

أعتقد أنه في المستقبل القريب، سيساعد نظام تنظيمي وأمني أكثر اكتمالًا هونغ كونغ، بوصفه مركزًا ماليًا هامًا بين الشرق والغرب، على فتح ذراعيه لـ Web3.

إخلاء المسؤولية:

1. يتم نشر هذه المقالة من [ aicoin]. جميع حقوق النشر ملك للكاتب الأصلي [SharkTeam]. إذا كان هناك اعتراضات على هذا النشر، يرجى الاتصال بالـبوابة تعلمالفريق، وسوف يتولى التعامل معها بسرعة.
2. تنصل المسؤولية: الآراء والآراء الواردة في هذا المقال هي فقط تلك للكاتب ولا تشكل أي نصيحة استثمارية.
3. يتم إجراء ترجمة المقال إلى لغات أخرى من قبل فريق Gate Learn. ما لم يذكر غير ذلك ، فإن نسخ أو توزيع أو نسخ المقالات المترجمة ممنوع.