伊朗最大的加密貨幣交易所Nobitex的9000萬美元駭客事件引起了全球關注。然而,新披露的區塊鏈資料揭示了更大的問題。
根據區塊鏈資訊公司Global Ledger的取證報告,在6月18日攻擊幾個月前,Nobitex就已經在使用與資金清洗相關的技術,系統性地轉移使用者資金。
伊朗Nobitex在駭客攻擊前清洗使用者資金?
鏈上資料顯示,Nobitex使用了一種稱為塵鏈的方法。這是指將大量比特幣分成小塊並透過短期錢包轉移的方法。
這種技術使資金追蹤變得困難,並且經常用於隱藏資金來源。在Nobitex的情況下,分析師發現BTC以一致的30個硬幣單位迴圈。
Global Ledger還發現Nobitex使用了臨時存取地址。這被稱為晶片交易行為。這些一次性地址將BTC引入新錢包,從而隱藏流動性路徑。
"救援錢包"並不新鮮
駭客攻擊後,Nobitex聲稱將剩餘資金轉移到安全地址。鏈上活動顯示1801 BTC(約1.875億美元)被轉移到新建立的錢包。
然而,這個錢包並不是新的。區塊鏈資料追蹤到可追溯到2024年10月的使用記錄。這個錢包長期以來一直在收集晶片資金。
這個"救援錢包"在駭客攻擊之前就已經接收了多筆20-30 BTC的轉賬,遵循相同的資金清洗模式。
駭客攻擊後的活動,持續的控制
駭客攻擊幾小時後,Nobitex將資金從暴露的熱錢包轉移到其他內部地址。這種全部餘額的轉移表明Nobitex保持著運營控制。
6月19日,調查人員觀察到1783 BTC被再次轉移到新的目標錢包。這與Nobitex保護資產的宣告一致,但現在增加了額外的背景。
這種流動不像是在應對駭客攻擊,而是表明Nobitex一直遵循其現有的資金清洗計劃。
親以色列駭客組織Gonjeshke Darande公開了揭露Nobitex內部錢包結構的檔案。
駭客攻擊令使用者感到震驚,但區塊鏈資料顯示Nobitex已經幾個月來一直以這種方式轉移資金。
與交易所相連的老舊錢包定期將比特幣轉移到新錢包。在那裡,資金被分成更小的金額再次轉移。通常以20或30 BTC的單位轉移。
這種方法使得追蹤資金去向變得困難。這類似於一些人在使用加密貨幣轉移資金時隱藏蹤跡的方法。
重要的是,這不是Nobitex在駭客攻擊後開始的。他們早就這樣做了,並在駭客攻擊後繼續這樣做。就像是標準程式一樣。
特別是一個錢包—bc1q…rrzq—反覆出現。這個錢包收到了許多使用者存款,似乎是這些難以追蹤的資金流動的起點。
總的來說,駭客攻擊並沒有改變Nobitex處理資金的方式。它只是向公眾揭示了正在進行的非公開活動。
