MistTrack 案例二：Wasabi Coinjoin 提款分析

By: Enze & Zero

概览

某大户地址私钥泄露被盗，被盗资金被转移到 Wasabi Coinjoin 中。被盗用户寻求 MistTrack 团队（https://misttrack.io/）协助。MistTrack 团队对混入 Wasabi Coinjoin 的被盗资金进行提款分析，成功追踪并重新捕获资金流向。随后，黑客对资金进行跨链交易。MistTrack 团队发现跨链后黑客地址有转移到交易所的历史痕迹，于是协助执法机构与交易所取得联系，申请调证并对相关账户进行风控。后黑客进一步转移被盗资金到交易所相关账户，部分被盗资金成功被冻结。

MistTrack 团队在此案例中的关键步骤主要包括：

1. 建立信任关系：与被盗用户建立良好的信任关系，这是分析和追踪工作的基础；

2. 追踪被盗资金：通过专业技术追踪被盗资金的流向；

3. 分析黑客行为：对黑客的行为模式进行深度分析，以理解其操作和预测其可能的下一步行动；

4. Wasabi Coinjoin 提款分析：利用专门的分析工具研究被混入 Wasabi Coinjoin 的被盗资金；

5. 跨链追踪：当黑客进行跨链交易尝试转移资金时，追踪资金的流向；

6. 执法机构介入：在必要的情况下，请执法机构介入并提供支持。

接下来，我们将详细讲述 MistTrack 团队在此案例中的具体工作和分析过程。

被盗资金追踪

在接到被盗用户的求助请求后，MistTrack 团队迅速对被盗资金展开调查和追踪。

在追踪过程中，我们发现大部分资金已被转入 Wasabi Coinjoin。

Wasabi Coinjoin 提款分析

基于初步掌握的情况，本案例的关键突破点在于 Wasabi Coinjoin 的提款部分。因此，我们围绕这一点进行了深入分析。

MistTrack 团队对 Wasabi Coinjoin 过程中的输出（output）和输入（input）地址进行了研究，并对多笔资金的交集进行了详细的分析和比较。

在获得提款地址列表后，MistTrack 团队从以下几方面分析这些地址：

• 地址使用频率
• 提款后的交易行为特征

经过一系列的详细分析，团队成功分析出多个可疑的提款地址。接着，我们对这些提款地址的提款数额进行统计和比较，结果发现这些数额与黑客转入 Wasabi Coinjoin 的资金基本一致。我们发现不同的 Wasabi Coinjoin 提款交易存在着一定的关联性，且提款地址存在聚类关系。因此，基本可以确定这些地址就是黑客的提款地址。

下图是黑客 Coinjoin 交易鸟瞰图：

下图是黑客 Coinjoin 交易的局部鸟瞰图：

跨链追踪

在 MistTrack 团队分析出黑客的 Wasabi Coinjoin 提款地址列表之后，对被盗资金进行了进一步追踪。我们发现黑客使用 renBTC 进行跨链操作。通过深入分析 renBTC 跨链资金，我们成功获得黑客在以太坊链上的 renBTC 提款地址。

随后，黑客获取了 renBTC 并通过交换平台将其兑换为 ETH，再进一步将其分散转移到多个交易所。

黑客痕迹分析

依据上述的链上痕迹，MistTrack 团队对黑客的行为痕迹进行了深入分析：

黑客显然对加密货币的洗钱手法非常熟悉，而且精通利用各种自动化工具和暗网工具来操作。

Wasabi Coinjoin 使用界面截图

• 黑客的其他交易

黑客 ETH 链 renBTC 提款地址存在从交易所存提款的交易。

图片

交易所账户风控

在 MistTrack 团队分析出黑客使用交易所的历史记录后，立即将这些信息同步给被盗用户，并协助执法机构联系交易所申请调证。紧接着，交易所对可能涉及的账户实施了相关的风控措施。

结果

最终，当黑客进一步转移被盗资金到交易所相关账户时，在 MistTrack 团队、执法机构、交易所三方的紧密协作下，成功冻结了部分被盗资金。这一举措有效阻止了黑客进一步转移资金。目前，剩余资金仍处于 MistTrack 团队的监控中。