金流追追追！駭客如何用三階段洗幣？交易所反詐騙秘訣有哪些？實際案例大公開

Podcast重點精華

Q：交易所能為用戶提供第二道防線嗎？

當一個使用者被詐騙，想要把錢匯給詐騙平台，或是手機、密碼已經被偷了，其實不見得會有損失，這時候可以看交易所如何去做第二道防線。

XREX在提高使用者帳戶的安全上有幾個要點可以分享：

第一點：用戶帳號的安全檢查

我們可以去看用戶註冊所使用的email，過去有沒有密碼洩漏的問題，是否曾經被曝光到其他地方。

假設某個電商網站被駭，其實很多駭客組織手上就已經有用戶所註冊的email，所以如果用同樣的email、密碼註冊交易所，就算密碼強度很強，但終究在網路上曝光過，那XREX會給予警示不接受這一組email跟密碼。

第二點：與金流有關的交易，強制開啟2FA雙重驗證

現在如果使用交易所的話，大部分交易所其實都會要求開啟「2FA雙重驗證」機制，例如用戶提款的時候。

最有名的應該就是Google Authenticator這個App，它可以很快速的產生一次性的驗證碼，也就是說，除了自己的帳號跟密碼之外，要另外再輸入這個一次性的驗證碼，用意是加強帳號的安全性，因為有些人可能已經偷到了你的帳號跟密碼資料，可是他沒有你的手機，那他就沒有辦法取得你這個一次性的驗證碼。

現在有些人會把這個App同步到雲端，這是Google Authenticator最近出的新功能，Sun非常的建議不要開啟，因為非常危險。Google本來的用意是要防止當一個用戶手機掉了，可以透過Google帳號去還原，但是如果今天換作Google帳號被盜，那就意味著攻擊者也有你的驗證碼，某種程度上就增加了被盜的風險。

🛎️延伸閱讀： Google兩步驟驗證「備份」功能，可能讓錢包被盜！台灣本土交易所怎麼看？

第三點：針對用戶的帳號行為做風險評估

以XREX交易所來說，會去看用戶登陸的IP國家有沒有變動，在可疑情況出現，可能會將用戶帳號臨時凍結，同時通知用戶去做授權，像是在台灣登入Gmail，某天到印度旅行，在印度登入Gmail，也會要求再次驗證身分的概念。

除了登入位置變化，也包括用戶交易行為、交易量，如果突然變化，也會被偵測到。今天假設用戶提幣數量與頻率可能與平常大不相同，而且交互地址是第一次出現，XREX就會視為可能有風險，可以在某一些重點的功能去幫用戶去做卡關。

Q：有哪些追蹤金流的案例可以分享？

目前其實很少人出來分享相關故事，Sun針對AML反洗錢分析這一塊來分享。交易所的角度去看，可以分成入金跟出金兩塊分開來看。

出金

比如說今天你的帳號密碼被駭了，駭客登入你的帳號後要出金，把所有的比特幣轉到這個駭客組織的錢包，可是這個組織的錢包，很有可能已經被XREX在使用這個反洗錢的工具與廠商掌握到，在這個駭客登入帳號並申請出金的時候，系統就會測到，這個時候XREX會警示，並暫時凍結你的帳號，因為這時並不確定是用戶真的要出金還是用戶帳號已經被駭客入侵。

入金

常常會有用戶會買到高風險的幣，尤其是點對點（P2P）交易，可能是買到北韓賣出來的幣、俄羅斯流出來的幣，或者是駭客去駭了去中心化協議轉賣出來的幣。

當用戶把這些幣存到我們交易所的時候，如果說配合的這些反洗錢組織跟技術能夠測得到的話，XREX可能會給一個高風險的提示，如果偵測不到，當用戶存到交易所的同時，國際的檢調單位常常也會很快就追過來，這個是入金會產生的風險。

Ｑ：從可疑行為或違法行為的角度來看，要如何洗幣？

洗幣可以簡單歸納成3個階段：

第一階段：資金多次轉移

在這個階段，所盜取的資金的會經過多次的轉移，然後分散到多個錢包，目的為混淆資金來源和所有者，增加追蹤的難度。

第二階段：混幣階段

這時進入到混幣階段，駭客會通過不同的方式去進行混幣，消除他們的交易紀錄或是來源，舉例來說，今天我把比特幣換成以太幣，然後把以太幣換成solana，再換回比特幣。

有一個很知名平臺Tornado Cash，概念就是大家把幣放進去，比如說Ａ放進去的幣，那今天Ａ要領出來，Ａ就拿Ｂ的錢出來的概念，而且Ａ可以去設定，比如現在放進去，3天後才會領。

第三階段：套現

最後一個階段就是套現，駭客會將混出來的幣變現，也就是變成法幣。

Q：在洗幣3階段中，有什麼真實的案例可以分享？

Sun分享一個案例，去年Axie Infinity側鏈Ronin被駭，損失金額大概是6.2億美金，竊取了17萬顆以太幣，2500多萬顆USDC，從分析報告中可以將洗幣流程分為兩次。

第一次

先把2500多萬顆的usdc到去中心化平台換成八千多顆的以太幣，再把6000多顆的以太幣打到火幣、FTX 、crypto.com等交易所，並在交易所換成比特幣提出去，再經過一層混幣。

第二次

第二次稍微複雜，駭客將17萬顆以太幣打到Tornado Cash，洗出來的以太幣跨鏈再換成比特幣，比特幣經過兩次的混幣器最後去套現。

針對這個事件，美國的執法部門在去年說他們追回了300萬美金，那目前應該有追回多一點，所以基本上如果有足夠的技術跟好的工具，其實這些行為都是很透明的。

可以發現最後洗幣的斷點都在現金，換成現金就沒辦法追了，但是他們一定要換成現金，因為要用到錢，所以這方面和銀行、監管單位，還有法治制單位的合作是非常的重要。

Ｑ：Sun為什麼從網路時代的web1到web2，最後進入web3的資安領域？

原因一：發現比特幣被拿來當贖金

2013年CryptoLocker勒索軟體爆發，一旦用戶上鉤後，電腦的所有的檔案會被加密，並要求你支付比特幣當贖金來解密。

原因二：北韓國家隊大規模瞄準crypto產業

北韓組織轉向到加密貨幣產業，所以Sun也就跟著在加密貨幣產業追蹤。

其實駭客轉向也可以看得出來，第一個是使用者越來越多，所以駭客會轉移他的攻擊目標；第二個就是因為錢往哪裡走他們往哪裡走。當時又很常聽到交易所常常被駭的這些新聞，綜合以上這些因素，Sun就覺得未來區塊鏈的資安也會有很大的潛力跟市場需求。

🛎️延伸閱讀： 加密錢包Atomic遭竊！損失逾1億美元、超過五千錢包受害，北韓駭客再度得逞？

Ｑ：加密貨幣交易所是Web2.5的防禦？而智慧合約是完全不一樣的web3思維，之間的差異為何？

第一點：web2與web3的資安漏洞

在web2世界，可以讓漏洞繼續存在，web2比較像是一層一層的防禦，其實你的漏洞存在，只要人家攻擊不了這個漏洞，即使漏洞沒有被及時修補，還是可以透過網頁型的防火牆防禦，而且web2所有的交易是可逆的，帳戶資產都是在資料庫裏面可以被恢復。

在web3世界就不一樣了，因為區塊鏈的特性公開、透明，不可竄改，所有的交易可能也不可逆轉，且要讓大家信任平台，所以大部分的協議都開源，對於攻擊者是一個很好的攻擊機會。

第二點：web2與web3被駭所帶來的影響

因為web2的特性，使得被駭的後果沒有web3所帶來的影響嚴重。

在web2中，駭客攻擊大企業，企業損失大部分是用戶的個資，例如2013年雅虎（Yahoo）公司被駭31億的用戶資料，2021年臉書（Meta）洩漏5億多的用戶資料。就算是銀行被駭也不怕，資產被轉走了，兩個銀行互通電話、資料庫改一改，錢就又被改回來了，所以它的交易是可逆的。

在web3的世界損失的是財產跟錢，像剛剛前面提到的Ronin案例，去年北韓直接竊取6.2億美金，web3領域很可能因為一個小漏洞，就會造成很大的損失。

第三點：web2與web3的漏洞回報獎勵（Bug Bounty）

Sun比較了一下，2021年Google支付這些Bug Bounty大概870萬美金，平均一人大概拿了一萬出頭美金。

在web3世界，像是polygon這個公鏈，他們曾經就對一個白帽駭客支付了200萬美金，另外一家公司叫Aurora，NEAR協議中的第二層協議（LAYER2），分別對兩位白帽駭客支付100萬美金。

web2裡雖然損失資料，但是某種程度上是能夠修復的，但是在web3裡面，被駭就是錢整個不見了，所以那個痛感是更明顯的，也導致項目方其實願意支付更多的錢去提前修復漏洞。

Q：最近的駭客攻擊趨勢？

第一種：假空投與送幣資訊

當有人要送幣或者空投等等，其實都要格外的注意是不是一些惡意攻擊。像是6月某個駭客組織駭了OPEN AI的CTO的Twitter，透過他的twitter發一個空投釣魚資訊，通常這種網站的設計就是你點進去，當你授權時，資產同時就會飛走。

🛎️延伸閱讀： 幣圈財產99%被盜光！多名台灣人受害的「BCC」詐騙案，如何用0.01枚以太幣騙到信任？

第二種：駭客透過web2平台做web3的攻擊

例如說像是透過discord、facebook、twitter帳號。最近一個案例為某項目的discord權限被駭，駭客發布假消息，16個小時就有450個用戶上當，獲取了70多萬美金。

第三種：假交易所、假錢包、假app

要小心一些假的交易所、假的錢包和假app，它們會在你提幣的時候把這些錢包地址替換掉。

Q：用戶如何保護好自己的資產？

第一點：用戶的行為安全性

不要將助記詞上傳到網路上或是截圖放在手機、電腦裡，這些行為就算是再厲害、再安全的交易所平台、錢包等等，都無法拯救。

第二點：保管好助記詞

助記詞一定要離線保存，並且可以放兩份，可以一份放在保險箱。

第三點：不要複製、貼上

有時候建立錢包要去導入你的私鑰，建議的不要使用複製，貼上的功能，因為很多惡意程式就是在等你複製的時候將助記詞偷走。

第四點：對於向你索取助記詞的網站保持警戒

建立小狐狸錢包，一開始會要你去備份助記詞，然後要你再輸入一次，以及在導入錢包時也要助記詞，只有這兩個地方會要你輸入助記詞，除此之外其他要你輸入助記詞的地方基本上都是假的。

第五點：持續驗證

要持續驗證，免費空投、高報酬平台基本上都是假的。

第六點：

錢包要做好風險管理，依據交易行為做資產隔離，錢包一些放少量資產做日常交易、Defi交互，一些做儲備像是冷錢包。