幣安（Binance）遭駭的 7,000 顆比特幣去哪了？還原駭客組織攻擊後的「銷贓過程」

世界最大的密碼貨幣交易所幣安在上週遭到駭客攻擊後，損失了約 7,000 枚比特幣（BTC），當時價值12億台幣，資安團隊 PeckShield 分析了駭客在得手後的銷贓模式，以及目前該筆遭竊資產的動態。

本文目錄

全球知名的交易所幣安於5 月8 日上午發佈公告稱，當天凌晨1 時15 分，幣安遭到了駭客大規模的系統性攻擊，獲取了大量API 密鑰，谷歌驗證2FA 碼等信息，一次性提走了約7,000 枚BTC。

>>幣安交易所在今天凌晨遭駭客攻擊！損失 7,074 顆比特幣，價值 12 億台幣

這是2019年以來，繼Cryptopia、DragonEx和Bithumb之後，第四個遭黑客攻擊的大型數字貨幣交易平台。根據區塊鏈安全公司PeckShield數字資產護航系統的數據顯示，本次駭客攻擊事件中，幣安共計損失了7,074枚BTC（按當天價格計，價值約4,200萬美元），恰逢數字貨幣市場行情整體回暖的關鍵時刻，幣安的突然遭襲會不會成為刺激行情下行的又一隻黑天鵝？

PeckShield安全人員深入剖析了駭客實施攻擊的全過程，並對被盜鏈上資產進行全路徑還原發現：

1、駭客從攻擊成功並未及時拋售，大概率會長期持幣；
2、為了逃避追踪，駭客分批多次轉移了被盜資產，但只是最基礎的換地址操作；
3、資產最終被分散至7個主要新地址，暫時尚未監測到流入交易所，並沒有拋售的跡象。

透過以下三張數字資產全路徑轉移圖，我們可以清晰地看到幣安被盜後的24 小時內，佛系駭客的淡定「銷贓」全過程。

第一步：20 個主要分散存儲地址

– 圖1：黑客將盜取的7,074 枚BTC 分散至20 個主要地址 –

大部分駭客攻擊得手之後，如果是組織型犯案的話，第一步大概率是將資金轉往非知名交易所，趁事情沒曝光前悄悄拋售、提現、分贓。然而，本次駭客攻擊得手之後，首先採取的是資金分散存儲，將7,074 枚BTC 以每個地址100 枚- 600 枚不等的額度分散於20 個主要(大於1 枚BTC ）新地址。

第二步：開始匯聚地址，實施資產轉移

– 圖2：黑客開始啟動資金整理 –

在將所盜取7,074 枚BTC 分散存儲開後，7 個小時後，駭客再一次開始整理資金，先清空了20 個地址中的2 個地址，並將2 個分別存儲有566 枚和671 枚的BTC 匯聚成1,226 枚BTC 轉入bc1qkwu、bc1q3a5 開頭的兩個新地址。最終又將該筆資金中的其中519.9 枚BTC 匯入另一個地址，剩餘的707.1 枚BTC 作為最終分佈的7 個地址之一尚無異動。

第三步：資產最終分散至7 個新地址，暫無異動

– 圖3：幣安被盜7,074 枚BTC 轉移全過程 –

通過上一步操作，駭客表露出了進一步匯聚資產的意思，但並沒有即時進行。

又隔了5 個小時，晚間22:35 分起，黑客將此前20 個地址中的若干地址餘額匯聚起來，將資金轉移至bc1q2rdpy、16SMGihY9、1MNwMURYw、bc1qw7g5u、bc1qnf2ja、bc1qx3628、bc1q3a5hd 開頭的7 個新地址，其中前6 個地址分別有1,060.64 枚BTC，最後一個地址轉入707.1 枚BTC，加上其他小額地址（一筆存儲有1.3 枚BTC 的地址），本次幣安被盜的7,074 枚BTC已基本全部被轉移。

截止目前，黑客分散後的7 個主要地址，尚未監測到有進一步的異動。

初步判斷，短時間內駭客應該不會有轉往交易所銷贓的意思，最終以每個地址1,060 枚BTC 分散存儲，或許只是為了方便存儲管理。整體而言，目前所有被盜資產尚控制在駭客手中，PeckShield 數字資產護航系統已對駭客全部關聯地址實施了全程監控和實時異動預警。