Global Ledger分析師表示，大約46%的被黑客攻擊的資金處于鏈上閑置狀態(tài)，這表明存在事件后恢復(fù)的機(jī)會(huì)。

目錄

黑客速度很快，但追捕他們的系統(tǒng)仍在追趕。區(qū)塊鏈情報(bào)公司Global Ledger基于數(shù)百起鏈上事件的一份新報(bào)告顯示，在許多情況下，被盜資金甚至在黑客行為被公開(kāi)披露之前就到達(dá)了洗錢(qián)目的地。

根據(jù)與Crypto.news共享的報(bào)告，從最初的鏈上漏洞到受害者項(xiàng)目或第三方調(diào)查人員報(bào)告事件平均需要43.83小時(shí)。與此同時(shí)，黑客傾向于在46.74小時(shí)內(nèi)將被盜資金轉(zhuǎn)移到第一個(gè)識(shí)別的實(shí)體，例如交易所、加密貨幣混合器或去中心化金融協(xié)議。

然而，最長(zhǎng)的延遲是公開(kāi)披露和攻擊者與洗錢(qián)服務(wù)互動(dòng)之間的窗口期，平均為78.55小時(shí)，這表明資金通常在黑客行為廣為人知之前就已經(jīng)在流動(dòng)。

“這里沒(méi)有明確的劇本”

Global Ledger的研究人員總共測(cè)量了數(shù)百起事件的四個(gè)關(guān)鍵時(shí)間表。從違規(guī)到資金流動(dòng)、從違規(guī)到報(bào)告、從違規(guī)到第一個(gè)實(shí)體互動(dòng)以及從公開(kāi)披露到洗錢(qián)活動(dòng)的時(shí)間。每個(gè)滯后也講述了自己的故事。

例如，針對(duì)NFT項(xiàng)目的攻擊顯示資金流動(dòng)最慢。平均而言，這些漏洞利用的資金從洗錢(qián)鏈中的第一個(gè)已知實(shí)體轉(zhuǎn)移到最后一個(gè)已知實(shí)體平均需要563.63小時(shí)（即近24天）。這是與交易所相關(guān)的集中式黑客攻擊平均滯后的兩倍多，這些黑客攻擊的持續(xù)時(shí)間約為425小時(shí)。

Global Ledger聯(lián)合創(chuàng)始人兼首席執(zhí)行官Lex Finsun在一篇獨(dú)家評(píng)論中告訴crypto.news，就NFT而言，長(zhǎng)期延遲不僅僅是流動(dòng)性低，因?yàn)檫@些代幣“獨(dú)特且更難悄悄出售”。

“這里沒(méi)有明確的劇本，洗錢(qián)通常涉及洗錢(qián)交易或社會(huì)工程。還記得The Idols漏洞嗎？攻擊者在stETH中耗盡了340，000美元，但卻陷入了相關(guān)的NFT。”

萊克斯·菲桑

該報(bào)告強(qiáng)調(diào)了洗錢(qián)途徑如何根據(jù)所利用的項(xiàng)目類型而有所不同。DeFi平臺(tái)和代幣通常會(huì)在230小時(shí)內(nèi)通過(guò)洗錢(qián)渠道轉(zhuǎn)移資金，而支付平臺(tái)的周轉(zhuǎn)速度最快：平均只需0.6小時(shí)。游戲和虛擬宇宙漏洞也是流動(dòng)速度更快的之一，在25小時(shí)內(nèi)移動(dòng)。

盡管資金流動(dòng)速度快且分散，但數(shù)量驚人的黑客資產(chǎn)仍未受到影響。數(shù)據(jù)顯示，近46%的被盜資金仍未用完，這表明在事件發(fā)生很長(zhǎng)一段時(shí)間后，仍有大量持續(xù)跟蹤和潛在追回的機(jī)會(huì)。

跨鏈痕跡

雖然許多基金閑置，但越來(lái)越多的份額正在通過(guò)更難追蹤的跨鏈路徑下滑。報(bào)告顯示，42.23%的被盜資金繞過(guò)了鏈條特定的監(jiān)控系統(tǒng)，跨鏈條轉(zhuǎn)移。

Fisun解釋說(shuō)，跨鏈橋梁“已經(jīng)成為最重要的洗錢(qián)工具之一”，因?yàn)樗鼈儫o(wú)法通過(guò)特定鏈的監(jiān)控。雖然反復(fù)濫用行為可能會(huì)招致反洗錢(qián)審查，但龍卷風(fēng)現(xiàn)金案證明了一件事：“制裁改變了策略，而不是需求，”菲森補(bǔ)充道。

Global Ledger的數(shù)據(jù)還顯示，Tornado Cash仍然是主要的洗錢(qián)協(xié)議，該公司跟蹤的超過(guò)50%的案件中都使用該協(xié)議。盡管美國(guó)財(cái)政部在2022年實(shí)施了制裁，而且全球監(jiān)管機(jī)構(gòu)的壓力越來(lái)越大，但該服務(wù)繼續(xù)在黑客后洗錢(qián)方面發(fā)揮著核心作用。

2024年美國(guó)法院以憲法為由推翻制裁后，其使用再次激增。

其他隱私工具也在蓬勃發(fā)展。例如，20%的病例使用Railgun，而10%的病例使用了Wasabi Wallet。數(shù)據(jù)顯示，Chainflip、CoinJoin和CryptoMixer各自參與的洗錢(qián)流量不到7%。

攻擊者變得更聰明

Fisun指出，集中式交易所的流量較慢（目前平均超過(guò)425小時(shí)）并不一定僅反映更好的合規(guī)性。

Global Ledger首席執(zhí)行官表示，這兩者都是，并補(bǔ)充說(shuō)，較慢的時(shí)間軸“不是一個(gè)小故障，而是設(shè)計(jì)”，因?yàn)楣粽叻指钯Y產(chǎn)，跳鏈，并使用隱私協(xié)議通過(guò)CEX轉(zhuǎn)移被盜資金，“試圖延遲看起來(lái)可疑的流動(dòng)。

執(zhí)法或合規(guī)團(tuán)隊(duì)僅凍結(jié)了一小部分資金。該報(bào)告表明，即使分析和監(jiān)控工具不斷進(jìn)步，實(shí)時(shí)響應(yīng)仍然很少。

雖然這些數(shù)字表明了持續(xù)的挑戰(zhàn)，但它們也強(qiáng)調(diào)了捍衛(wèi)者可以獲得優(yōu)勢(shì)的地方。時(shí)間差距-有時(shí)以天為單位-表明在被盜資金完全消失之前仍有采取行動(dòng)的空間。