以太坊异常手续费转账「新疑犯」:PlusToken 企图通过混合器隐匿踪迹来进行洗钱?
6 月 10 日,一个未知地址转移了 0.55 ETH (约 128 美元),然而交易费用却高达 10,668.7 ETH (约 260 万美元),这笔交易由 SparkPool 打包。
在第一笔交易发生大约 20 小时后,该地址再一次转出 350 ETH ,同样支付了高达 10,668.7 ETH (约 260 万美元)的巨额交易费,这一次交易的打包方为 Ethermine 矿池。
这一神秘地址两天内的魔幻操作创下了以太坊链上史上最高手续费记录。究竟是『善举』还是『被盗』?这两笔足以载入以太坊史册的交易引发了市场极高的关注。
既然这两笔异常手续费交易都来自同一地址,那么动机也可能一致。
关于这一神秘地址的几个公开特征:
该地址是一个新地址,第一笔交易日期为 6 月 7 日(在第一次异常交易发生的几天前);
该地址有「自动化操作」痕迹,因为交易非常频繁,Gas 费用为 60 Gwei;
许多交易都与韩国交易所相关,主要集中在 Upbit;
在第一笔交易中,ETH 被发送到 Bithumb 存款钱包,第二笔交易被发送到 Upbit 存款钱包;
从该地址发送的大多数交易的值都不是整数,因此不太可能是交易所使用的地址;
开采矿池不同的(SparkPool 和 Ethermine);
在第二次异常交易之前,交易没有停止。
由于大量资金 从 Bithumb 热钱包流向神秘地址,联系到 Bithumb 最近的钱包迁移活动,以及大多数交易都发送到 Bithumb 所属地址进行放入,因此这一神秘地址或与Bithumb 的托管有关。不过客户通过钱包与交易所进行资金转换的情况是比较常见的。
根据 Dune Analytics 数据显示,Upbit 似乎与神秘地址关系更密切。普遍来看,接收者和发送者经常是相同的交易所地址,但数据显示出,一些以太坊直接进入交易所的用户存款钱包,这看上去就不是很合理了。
上图显示了第二笔交易的接收者(Upbit 的存款地址之一)中的资金如何转移到 Upbit 热钱包。发送者通过一次性地址向 Upbit 热钱包发送资金。图表中一次性使用的地址是随机选择的、而且数量巨大。这表明可能与加密货币混合服务(以下称混合器,mixer)有关,并且与韩国个人或实体交易所有关联。
神秘地址牵扯到庞氏骗局 PlusToken ?
在对交易混合器的追踪中发现了与庞氏骗局 PlusToken 的联系。 Elementus 发现该项目已经收集了将近 1000 万个以太坊,之后不久在交易所(主要是亚洲交易所)中发现了以太坊。
为防止洗钱行为发生,多数交易所都采用了反洗钱 (AML) 策略。不过,PlusToken 的情况要复杂得多,因为参与者从 2019 年 6 月开始就面临取款问题,当时这一庞氏骗局项目已经存在了一年多的时间。资金在当时就可以被转移到几个交易所并且可以在不同的钱包中移动,但却没有受到足够的关注。
目前,PlusToken 已知地址中约有 79 万个 ETH。剩下的 ETH 被分配到不同的钱包中,其中不仅限于交易所钱包地址,因此转移的地址很难进行调查。
上图显示了资金从 PlusToken 到神秘地址的过程。PlusToken 借助了一些低活跃地址到 Upbit 交易所内,来自 Upbit 热钱包的 ETH 又使用一次性钱包最终出现在神秘地址中。
PlusToken 地址同样通向了交易所的存款钱包,这些存款钱包从神秘地址中收到了资金。在上面的例子中,来自 PlusToken 的 ETH 通过可能被错误标记为交易所的地址(其实可能是混合器地址),从不同的被盗钱包中收取了资金,以便进一步清理痕迹。为了混淆对该地址的追踪,还发出了一个未知的 WOR 代币,此后从混合器地址分发。分发结束后,该代币就不再使用了。
只是一个洗钱的僵尸程序?
综上所述,发送两次交易并收取 500 万美元费用的地址可能是一个正在洗钱的僵尸机器程序,并且可能与 PlusToken 有关,同时僵尸程序大部分交易是向韩国的几家交易所提款和存款。
另一个支持非法资金来源的论据是地址所有者和收取费用之间的联系缺失。Ethermine 矿池 SparkPool 和已经开始向其矿工分配费用,所以勒索假设值得推敲。
尽管如此,异常交易可以被解释为尝试利用矿池退款来进行快速洗钱的企图。如果确实是 PlusToken,也许可以通过这样的方式来切断与 PlusToken 地址的连接(防止地址追踪)。
去年也发生过类似的案例,所有者只需从相同的地址发送一个交易,或者用他们的私钥签署一条消息,来证明自己是发送方,就可以验证身份。
据链闻此前报道,2019 年 2 月 19 日,以太坊链上出现一笔只有 0.1 ETH 的交易,然而交易者却给出了高达 2,100 个 ETH 的手续费,当时的打包方为 Sparkpool ,随后韩国一家区块链公司联系了 Sparkpool,最终将 2100 ETH 的一半奖励给矿工,并将另一半返还给这家韩国公司。
总而言之,Upbit、Bithumb 和 Coinone 等交易所还应检查与可能充当混合器的地址进行交互的用户帐户。
撰文:Frank Topbottom
编译:娄月
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場