Pada tahun 2023, industri Web3 mengalami lebih dari 940 insiden keamanan, besar maupun kecil, yang meningkat lebih dari 50% dibandingkan dengan 2022, dan mengalami kerugian sebesar $1,79 miliar. Di antaranya, kuarta ke-3 memiliki jumlah insiden keamanan tertinggi (360 kasus) dan kerugian terbesar (7,4 miliar Dolar AS), dan kerugian meningkat 47% dibandingkan dengan 2022. Secara khusus, pada bulan Juli, terjadi 187 insiden keamanan, dan kerugian mencapai US$350 juta.

Gambar: Jumlah insiden keamanan triwulanan/bulanan untuk Web 3 2023

Gambar: Kerugian kejadian keamanan triwulanan/bulanan Web 3 2023 (dalam jutaan dolar)

Pertama, serangan hacker masih menjadi penyebab utama dari kerugian signifikan. Ada 216 kejadian peretasan sepanjang tahun 2023, menyebabkan kerugian sebesar $1.06 miliar. Pelanggaran kontrak, pencurian kunci pribadi, serangan phishing, dan peretasan nasional masih menjadi alasan penting yang mengancam keamanan ekosistem Web3.

Kedua, Rugpull dan penipuan kas negara sedang meningkat. Ada 250 kasus penipuan Rugpull dan Scam pada tahun 2023, dengan kejadian yang paling sering terjadi di BNBChain. Proyek-proyek yang menipu menarik investor untuk berpartisipasi dengan memposting proyek kripto yang tampak menarik, dan menyediakan likuiditas palsu. Begitu dana yang cukup berhasil menarik, semua dana tiba-tiba dicuri dan aset dipindahkan. Jenis penipuan ini menyebabkan kerugian keuangan yang serius bagi investor, dan juga sangat meningkatkan kesulitan bagi investor untuk memilih proyek yang tepat.

Selain itu, ransomware sedang menjadi tren menggunakan kripto untuk mengumpulkan tebusan, seperti Lockbit, Conti, Suncrypt, dan Monti. Mata Uang Kripto lebih sulit dilacak dibanding uang fiat, dan bagaimana menggunakan alat analisis on-chain untuk melacak dan menemukan geng ransomware juga menjadi semakin penting.

Akhirnya, dalam aktivitas kriminal seperti serangan peretasan mata uang kripto dan pemerasan penipuan, para kriminal seringkali perlu mencuci uang melalui transfer dana on-chain dan OTC setelah mendapatkan mata uang kripto. Pencucian uang biasanya menggunakan kombinasi metode terdesentralisasi dan terpusat. Bursa terpusat adalah tempat paling terkonsentrasi untuk pencucian uang, diikuti oleh platform pencampuran koin on-chain.

2023 juga merupakan tahun perkembangan yang substansial dalam regulasi Web3. FTX2.0 di-restart, Binance dihukum, alamat USDT yang dilarang seperti Hamas, dan SEC menyetujui Bitcoin spot ETF pada Januari 2024. Semua peristiwa bersejarah ini menunjukkan bahwa regulasi sangat terlibat dalam perkembangan Web3.

Laporan ini akan melakukan analisis sistematis terhadap topik-topik utama seperti serangan peretasan Web3 2023, penipuan Rugpull, ransomware, pencucian uang cryptocurrency, regulasi Web3, dll., Untuk memahami lanskap keamanan perkembangan industri cryptocurrency.

1. Celah kontrak

Serangan kerentanan kontrak terutama terjadi di Ethereum. Pada paruh kedua tahun 2023, terdapat 36 serangan kerentanan kontrak di Ethereum, dengan kerugian mencapai lebih dari 200 juta dolar AS, diikuti oleh BNBChain. Dalam hal metode serangan, kelemahan logika bisnis dan serangan pinjaman kilat masih menjadi yang paling umum.

Gambar: Insiden Peretasan Kuartalan Web 3 2023 dan Kerugian (dalam juta dolar)

Gambar: Jumlah dan jumlah eksploitasi kontrak bulanan dan serangan peretasan pada Web 3 2023H2

Gambar: Jumlah serangan eksploitasi kontrak dan jumlah kerugian per bulan dalam rantai Web 3 2023H2 yang berbeda

Gambar: Jumlah dan nilai kerugian yang disebabkan oleh kerentanan kontrak Web 3 2023H2 menggunakan metode serangan spesifik

Analisis peristiwa umum: Kerentanan Vyper menyebabkan proyek seperti Curve dan JPEG diserang

Ambil JPEG'd yang diserang sebagai contoh:

Alamat penyerang: 0x6ec21d1868743a44318c3c259a6d4953f9978538

Kontrak penyerang: 0x9420f8821ab4609ad9fa514f8d2f5344c3c0a6ab

Transaksi serangan:

0xa84aa065ce61dbb1eb50ab6ae67fc31a9da50dd2c74eefd561661bfce2f1620c

(1) Para penyerang (0x6ec21d18) membuat kontrak 0x466B85B4 dan meminjam 80.000 WETH dari [Balancer: Vault] melalui pinjaman flash.

(2) Para penyerang (0x6ec21d18) menambahkan 40.000 WETH ke kolam likuiditas peth-ETH-F (0x9848482d) dan memperoleh 32.431 pETH.

(3) Selanjutnya, penyerang (0x6ec21d18) berulang kali mengeluarkan likuiditas dari kumpulan likuiditas peth-ETH-F (0x98482D).

(4) Pada akhirnya, para penyerang (0x6ec21d18) memperoleh 86.106 WETH, dan setelah mengembalikan pinjaman kilat, keuntungan sebesar 6.106 WETH meninggalkan pasar.

Analisis kerentanan: Serangan ini adalah serangan re-entry yang khas. Dekompilasi bytecode dari kontrak proyek yang diserang. Kita dapat melihat dari gambar berikut: fungsi add_liquidity dan remove_liquidity tidak sama saat memverifikasi nilai slot penyimpanan. Menggunakan slot penyimpanan yang berbeda, kunci masuk kembali mungkin tidak berfungsi. Pada titik ini, diduga itu adalah bug desain yang mendasari Vyper.

Dikombinasikan dengan tweet resmi Curve. Pada akhirnya, penargetannya adalah bug versi Vyper. Kerentanan ini ada di versi 0.2.15, 0.2.16, dan 0.3.0, dan ada cacat dalam desain kunci masuk kembali. Kami membandingkan 0.2.14 dan 0.3.0 sebelum 0.2.15 Kemudian, dalam versi 0.3.1, ditemukan bahwa bagian kode ini terus diperbarui. Versi 0.2.14 yang lama dan versi 0.3.1 yang lebih baru tidak memiliki masalah ini.

Pada file pengaturan terkait kunci reentry data_positions.py yang sesuai dengan Vyper, nilai storage_slot akan tertimpa. Pada saat re-entry, slot yang pertama kali mendapatkan kunci adalah 0, kemudian ketika fungsi dipanggil kembali, slot kunci akan bertambah 1. Pada titik ini, kunci re-entry akan kedaluwarsa.

II. Serangan Phishing

Serangan phishing adalah jenis serangan dunia maya yang dirancang untuk menipu dan menginduksi target agar memperoleh informasi sensitif atau menginduksi mereka untuk melakukan tindakan berbahaya. Jenis serangan ini biasanya dilakukan melalui email, media sosial, SMS, atau saluran komunikasi lainnya. Para penyerang menyamar sebagai entitas yang dipercayai, seperti pihak proyek, otoritas, KOL, dll., untuk memikat korban agar memberikan kunci privat, mnemonik, atau otorisasi transaksi. Serupa dengan serangan kerentanan kontrak, serangan phishing menunjukkan insiden yang tinggi dan kerugian yang tinggi pada Q3. Sebanyak 107 serangan phishing terjadi, di antaranya 58 terjadi pada bulan Juli.

Gambar: Jumlah serangan phishing dan kerugian per kuartal di Web 3 2023 (juta dolar)

Gambar: Jumlah serangan phishing bulanan pada Web 3 2023

Analisis transfer aset on-chain dari serangan phishing khas

Pada 7 September 2023, alamat (0x13e382) diserang oleh serangan phishing dan kehilangan lebih dari $24 juta. Hacker phishing menggunakan pencurian dana, pertukaran dana, dan transfer dana terdesentralisasi. Dari dana yang hilang, 3.800 ETH ditransfer ke Tornado.Cash secara bertahap, 10.000 ETH ditransfer ke alamat perantara (0x702350), dan 1078,087 DAI tetap berada di alamat perantara (0x4F2F02).

Ini adalah serangan phishing khas. Dengan mencuri aset pengguna dengan menipu otorisasi dompet atau kunci pribadi, para penyerang telah membentuk rantai industri hitam dari phishing + pencucian uang. Saat ini, semakin banyak geng penipuan dan bahkan peretas nasional menggunakan metode phishing untuk melakukan kejahatan di bidang Web3, yang membutuhkan perhatian dan kewaspadaan semua orang.

Menurut platform analisis data besar on-chain SharkTeam ChainAegis (https://app.chainaegis.com/)Dalam analisis lanjutan, kami akan menganalisis proses penipuan dari serangan phishing tipikal, transfer dana, dan perilaku on-chain para penipu.

(1) Proses serangan phishing

Alamat korban (0x13e382) memberikan rETH dan stETH ke alamat scammer 1 (0x4c10a4) melalui 'Tingkatkan Tunjangan'.

Alamat penipu 1 (0x4c10a4) mentransfer 9.579 stETH dari akun alamat korban (0x13e382) ke alamat penipu 2 (0x693b72) sebesar sekitar $15,32 juta.

Alamat scammer 1 (0x4c10a4) mentransfer 4.850 rETH dari akun alamat korban (0x13e382) ke alamat scammer 2 (0x693b72) dengan jumlah sekitar $ 8,41 juta.

(2) Pertukaran dan transfer aset

Tukar stETH dan rETH yang dicuri dengan ETH. Dimulai pada pagi hari 2023-09-07, alamat penipu 2 (0x693b72) melakukan beberapa transaksi pertukaran di platform UniSwapV2, UniSwapv3, dan Curve masing-masing, menukar semua 9.579 stETH dan 4.850 rETH menjadi ETH, dengan total 14.783,9413 ETH.

pertukaran stETH:

pertukaran rETH:

Tukar beberapa ETH dengan DAI. Alamat penipu 2 (0x693b72) menukar 1.000 ETH dengan 1.635.047,761675421713685327 melalui platform UniSwapv3 DAI. Penipu menggunakan transfer dana terdesentralisasi ke beberapa alamat dompet perantara, dengan total 1.635.139 DAI dan 13.785 ETH. Dari jumlah tersebut, 1.785 ETH ditransfer ke alamat perantara (0x4F2F02), 2.000 ETH ditransfer ke alamat perantara (0x2ABDC2), dan 10.000 ETH ditransfer ke alamat perantara (0x702350). Selain itu, alamat perantara (0x4F2F02) menerima 1.635.139 DAI keesokan harinya

Transfer dana alamat dompet perantara (0x4F2F02):

Alamat telah melalui transfer dana berlapis dan memiliki 1,785 ETH dan 1,635,139 DAI. Transfer dana terdesentralisasi DAI, dan sejumlah kecil dikonversi menjadi ETH

Pertama, scammers mulai mentransfer 529.000 DAI melalui 10 transaksi di pagi hari tanggal 07-09-2023. Selanjutnya, 7 total 452.000 DAI pertama ditransfer dari alamat perantara ke 0x4E5B2E (fixedFloat), kedelapan, dari alamat perantara ke 0x6CC5F6 (OKX), dan 2 total 77.000 DAI terakhir ditransfer dari alamat perantara ke 0xF1DA17 (exCH).

Kedua, pada 10 September, 28.052 DAI ditukar dengan 17,3 ETH melalui UniswapV2.

Dari tanggal 8 September hingga 11 September, dilakukan 18 transaksi, dan semua 1.800 ETH ditransfer ke Tornado.Cash.

Setelah transfer, alamat akhirnya meninggalkan dana curian 1078,087 DAI yang tidak ditransfer.

Transfer dana ke alamat perantara (0x2ABDC2):

Alamat telah ditransfer melalui tingkat dana dan memiliki 2.000 ETH. Pertama, alamat mentransfer 2000ETH ke alamat perantara (0x71C848) pada 11 September.

Alamat perantara (0x71C848) kemudian mentransfer dana melalui dua transfer dana pada 11 September dan 1 Oktober masing-masing, untuk total 20 transaksi, 100 ETH masing-masing, dengan total 2000 ETH ke Tornado.Cash.

Alamat telah ditransfer melalui tingkat dana dan memiliki 10.000 ETH. Per tanggal 08 Oktober 2023, 10.000 ETH belum ditransfer ke rekening alamat ini.

Pelacakan petunjuk alamat: Setelah menganalisis transaksi historis alamat penipu 1 (0x4c10a4) dan alamat penipu 2 (0x693b72), ditemukan bahwa alamat EOA (0x846317) mentransfer 1,353 ETH ke alamat penipu 2 (0x693b72), dan sumber pendanaan untuk alamat EOA ini melibatkan alamat dompet panas bursa terpusat KuCoin dan Binance.

III. Rugpull dan Penipuan

Frekuensi insiden penipuan Rugpull pada tahun 2023 menunjukkan tren kenaikan yang signifikan. Q4 mencapai 73 kasus, dengan jumlah kerugian US $ 19 juta, dengan kerugian tunggal rata-rata sekitar US $ 26.000. Kuartal dengan bagian tertinggi dari kerugian penipuan Rugpull sepanjang tahun adalah Q2, diikuti oleh Q3, yang menyumbang lebih dari 30% kerugian.

Pada paruh kedua tahun 2023, ada total 139 insiden Rugpull dan 12 insiden penipuan, yang mengakibatkan kerugian masing-masing $71.55 juta dan $340 juta.

Acara Rugpull terutama terjadi di BNBChain pada paruh kedua 2023, mencapai 91 kali, menyumbang lebih dari 65%, dan kerugian mencapai $29,57 juta, menyumbang 41% dari kerugian. Ethereum (44 kali) mengikuti, dengan kerugian $7,39 juta. Selain Ethereum dan BNBChain, insiden Rugpull BALD terjadi di Base Chain pada bulan Agustus, menyebabkan kerugian serius sebesar $25,6 juta.

Gambar: Jumlah insiden Rugpull dan Penipuan serta kerugian per kuartal untuk Web 3 2023 (juta dolar)

Gambar: Jumlah kejadian Rugpull dan penipuan serta kerugian per bulan di Web 3 2023H2

Gambar: Jumlah kejadian Rugpull bulanan dan jumlah kerugian di berbagai rantai Web 3 2023H2

Analisis perilaku pabrik penipuan Rugpull

Model pabrik penipuan Rug yang populer di BNBChain untuk memproduksi massal token Rugpull dan melakukan penipuan. Mari kita lihat pola penipuan pabrik Rugpull dari token SEI, X, TIP, dan Blue palsu.

(1) SEI

Pertama, pemegang token SEI palsu 0x0a8310eca430beb13a8d1b42a03b3521326e4a58 menukar 249 SEI palsu dengan 1U.

Kemudian, 0x6f9963448071b88fb23fd9971d24a87e5244451A melakukan operasi pembelian dan penjualan massal. Di bawah operasi pembelian dan penjualan, likuiditas token meningkat secara signifikan, dan harga juga meningkat.

Melalui phishing dan metode promosi lainnya, sejumlah besar pengguna tergoda untuk membeli. Saat likuiditas meningkat, harga token melonjak dua kali lipat.

Ketika harga token mencapai nilai tertentu, pemilik token memasuki pasar dan menjual untuk melakukan operasi Rugpull. Seperti dapat dilihat dari gambar di bawah ini, periode panen masuk dan harga semuanya berbeda.

(2) X palsu, TIP palsu, Biru palsu

Pertama, pemegang token X, TIP, dan Blue 0x44A028DAE3680697795a8d50960c8c155cbc0d74 menukarkan 1U dengan token yang sesuai. Kemudian, sama seperti token Sei palsu.

Operasi pembelian dan penjualan besar-besaran. Di bawah operasi pembelian dan penjualan, likuiditas meningkat secara signifikan, dan harga naik.

Itu kemudian dipromosikan melalui phishing dan saluran lain untuk menarik sejumlah besar pengguna untuk melakukan pembelian. Ketika likuiditas meningkat, harga token berlipat ganda.

Seperti SEI palsu, ketika harga token mencapai nilai tertentu, pemilik token memasuki pasar untuk menjual dan melakukan operasi Rugpull. Seperti yang terlihat dari gambar di bawah, periode panen masuk dan harga semuanya berbeda.

Grafik fluktuasi untuk SEI palsu, X palsu, TIP palsu, dan token Blue palsu adalah sebagai berikut:

Kita dapat belajar dari keterlacakan dana dan pola perilaku:

Dalam konten keterlacakan dana, pembuat pabrik koin dan dana pembuat token berasal dari beberapa akun EOA. Ada juga transaksi keuangan antara akun yang berbeda. Beberapa dari mereka ditransfer melalui alamat phishing, beberapa diperoleh melalui token Rugpull sebelumnya, dan yang lainnya diperoleh melalui platform campuran seperti Tornado Cash. Mentransfer dana dengan berbagai cara ditujukan untuk membangun jaringan keuangan yang kompleks dan rumit. Berbagai alamat juga telah membuat beberapa kontrak pabrik token dan token yang diproduksi secara massal.

Saat menganalisis perilaku token Rugpull, kami menemukan alamatnya

0x6f9963448071b88fb23fd9971d24a87e5244451a adalah salah satu sumber pendanaan. Metode batch juga digunakan untuk memanipulasi harga token. Alamat 0x072E9A13791F3A45FC6EB6EB6AD38E6EA258C080cc3 juga bertindak sebagai penyedia dana, memberikan dana yang sesuai kepada beberapa pemegang token.

Melalui analisis, dapat terlihat bahwa di balik serangkaian tindakan ini, ada sebuah geng penipuan Web3 dengan pembagian kerja yang jelas, membentuk rantai industri hitam. Ini terutama melibatkan pengumpulan titik panas, penerbitan koin otomatis, perdagangan otomatis, publisitas palsu, serangan phishing, dan pemanenan Rugpull, yang sebagian besar terjadi di BNBChain. Token Rugpull palsu yang diterbitkan semuanya erat kaitannya dengan peristiwa panas di industri, dan sangat membingungkan serta mendorong. Pengguna harus selalu waspada, rasional, dan menghindari kerugian yang tidak perlu.

IV. Ransomware

Ancaman serangan ransomware pada tahun 2023 terus mengancam lembaga dan bisnis sepanjang waktu. Serangan ransomware menjadi lebih canggih, dan penyerang menggunakan berbagai teknik untuk mengeksploitasi kerentanan dalam sistem dan jaringan organisasi. Serangan ransomware yang merajalela terus menjadi ancaman besar bagi organisasi bisnis, individu, dan infrastruktur kritis di seluruh dunia. Penyerang terus beradaptasi dan menyempurnakan strategi serangan mereka, menggunakan kode sumber yang bocor, skema serangan cerdas, dan bahasa pemrograman yang baru muncul untuk memaksimalkan keuntungan ilegal mereka.

LockBit, ALPHV/BlackCat, dan BlackBasta saat ini adalah organisasi ransomware paling aktif.

Gambar: Jumlah korban organisasi pemerasan

Saat ini, semakin banyak ransomware menggunakan metode pembayaran cryptocurrency. Ambil Lockbit sebagai contoh. Perusahaan yang baru-baru ini diserang oleh Lockbit termasuk TSMC pada akhir Juni tahun ini, Boeing pada bulan Oktober, dan anak perusahaan yang sepenuhnya dimiliki AS dari Industrial and Commercial Bank of China pada bulan November. Sebagian besar dari mereka menggunakan Bitcoin untuk mengumpulkan uang tebusan, dan LockBit akan mencuci uang cryptocurrency setelah menerima uang tebusan. Mari kita menganalisis model pencucian uang ransomware menggunakan Lockbit sebagai contoh.

Menurut analisis ChainAegis, ransomware LockBit sebagian besar menggunakan BTC untuk mengumpulkan uang tebusan, menggunakan alamat pembayaran yang berbeda. Beberapa alamat dan jumlah pembayaran diatur sebagai berikut. BTC dalam pemerasan tunggal berkisar antara 0,07 hingga 5,8, mulai dari sekitar $ 2.551 hingga $ 211.311.

Gambar: Alamat pembayaran sebagian LockBit dan jumlah pembayaran

Pelacakan alamat on-chain dan analisis anti pencucian uang dilakukan menggunakan dua alamat dengan jumlah terbesar yang terlibat:

Alamat penerima pembayaran tebusan 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem;

Alamat Penerima Tebusan 2:1hpz7rny3kbjeuurhkhivwdrnwaasgvVVPH.

(1) Alamat koleksi ransomware 1:1ptfhwkusgvtg6mh6hyxx1c2sjxw2zhpem

Menurut analisis di bawah ini, Alamat 1 (1Ptfhw) menerima total 17 transaksi on-chain dari 25 Maret 2021 hingga 15 Mei 2021. Setelah menerima dana, aset tersebut dengan cepat ditransfer ke 13 alamat perantara inti. Alamat perantara ini ditransfer melalui lapisan pendanaan ke 6 alamat perantara tingkat kedua, yaitu: 3fVzPx… cuVH, 1gVKmU… Bbs1, bc1qdse… ylky, 1gucci… vSGB, bc1qan… 0ac4, dan 13CPvF… Lpdp.

Alamat perantara 3fVzPx... cuvH, melalui analisis on-chain, ditemukan bahwa aliran terakhirnya ke alamat web gelap 361AKMknnwywzrsce8ppnMoH5AQF4V7G4P ditemukan.

Alamat perantara 13cPVf… Lpdp mentransfer sejumlah kecil 0,00022 BTC ke CoinPayments. Ada 500 transaksi serupa, dan total 0,21 BTC terkumpul ke alamat CoinPayments: bc1q3y… 7y88 untuk mencuci uang menggunakan CoinPayments.

Alamat perantara lainnya akhirnya mengalir ke bursa terpusat Binance dan Bitfinex.

Gambar: Alamat 1 (1Ptfhw… hPEM) Sumber Pendanaan dan Rincian Arus Keluar

Gambar: Pelacakan aliran uang Alamat 1 (1Ptfhw… hPem)

Gambar: Rincian alamat perantara dan aliran uang yang terlibat dalam alamat 1 (1Ptfhw… hPEM)

Gambar: Peta transaksi Alamat 1 (1Ptfhw… hPEM)

(2) Alamat Penerimaan Pemerasan 2:1hpz7rny3kbjeuurhkHivwdrnWaasgVVPH

Korban membayar 4,16 BTC kepada operator tebusan LockBit dalam 11 transaksi antara 24 Mei 2021 dan 28 Mei 2021. Secara langsung, alamat 2 (1hpz7rn… vVPH) dengan cepat mentransfer 1,89 BTC dari dana tebusan ke alamat perantara 1: bc1qan… 0ac4, 1,84 ke alamat perantara 2:112qjqj… Sdha, 0,34 Barang tersebut dikirim ke alamat tengah 3:19Uxbt… 9rdF.

Alamat menengah terakhir 2:112qJqj... Sdha dan alamat menengah 3:19Uxbt... 9rdF keduanya mentransfer dana ke alamat menengah 1: bc1qan ... 0ac4. Segera setelah itu, alamat tengah 1 bc1qan ... 0ac4 terus mentransfer dana. Sebagian kecil dana ditransfer langsung ke bursa Binance, dan bagian lain dari dana ditransfer lapis demi lapis melalui alamat tengah, dan akhirnya ditransfer ke Binance dan platform lain untuk pencucian uang. Detail transaksi dan tag alamat spesifik adalah sebagai berikut.

Gambar: Alamat 2 (1hpz7rn... vVPH) Sumber Pendanaan dan Detail Arus Keluar

Gambar: Alamat 2 (1hpz7rn… vVPH) pelacakan aliran dana

Gambar: Rincian alamat perantara dan aliran uang yang terlibat dalam alamat 2 (1hpz7rn... vVPH)

LockBit akan mencuci uang mata uang kripto setelah menerima tebusan. Berbeda dengan metode pencucian uang tradisional, model pencucian uang ini biasanya terjadi di blockchain. Memiliki karakteristik siklus panjang, dana tersebar, otomatisasi tinggi, dan kompleksitas tinggi. Untuk melakukan pengawasan mata uang kripto dan pelacakan dana, di satu sisi, perlu membangun kemampuan analisis dan forensik on-chain dan off-chain, dan di sisi lain, perlu melakukan serangan keamanan jaringan tingkat APT dan pertahanan, dengan kemampuan untuk mengintegrasikan serangan dan pertahanan.

5. MONEY LAUNDRY

Pencucian uang (money laundering) adalah tindakan melegalkan hasil ilegal. Ini terutama merujuk pada melegalkan secara formal hasil ilegal dan hasil yang dihasilkan dengan menyembunyikan asal dan sifat hasil ilegal melalui berbagai cara. Tindakan tersebut meliputi, tetapi tidak terbatas pada, menyediakan rekening keuangan, membantu dalam konversi bentuk properti, dan membantu dalam transfer dana atau pengiriman ke luar negeri. Namun, mata uang kripto — terutama stablecoin — telah digunakan untuk pencucian uang untuk waktu yang cukup lama karena biaya transfer rendah, degeolocation, dan beberapa sifat tahan sensor tertentu, yang merupakan salah satu alasan utama mengapa mata uang kripto telah dikritik.

Kegiatan pencucian uang tradisional sering menggunakan pasar OTC mata uang kripto untuk menukarkan uang kertas ke mata uang kripto, atau dari mata uang kripto ke uang kertas. Di antaranya, skenario pencucian uang berbeda dan bentuknya beragam, tetapi terlepas dari sifat tindakan tersebut, tujuannya adalah untuk menghalangi penyelidikan tautan modal oleh petugas penegak hukum, termasuk rekening lembaga keuangan tradisional atau rekening lembaga kripto.

Tidak seperti kegiatan pencucian uang tradisional, target dari jenis baru kegiatan pencucian uang kripto adalah mata uang kripto itu sendiri, dan infrastruktur industri kripto, termasuk dompet, jembatan lintas rantai, platform perdagangan terdesentralisasi, dll., semua akan digunakan secara ilegal.

Gambar: Jumlah uang yang dicuci dalam beberapa tahun terakhir

Dari tahun 2016 hingga 2023, mata uang kripto dicuci total sebesar $147,7 miliar. Sejak 2020, jumlah uang yang dicuci terus meningkat dengan laju 67% per tahun, mencapai $23,8 miliar pada 2022, dan bahkan mencapai $80 miliar pada 2023. Jumlah uang yang dicuci sungguh mengejutkan, dan tindakan anti pencucian uang sangat penting.

Menurut statistik dari platform ChainAegis, jumlah dana pada platform pencampuran koin on-chain Tornado Cash telah mempertahankan pertumbuhan pesat sejak Januari 2020. Saat ini, hampir 3,62 juta setoran ETH telah ditempatkan di kumpulan dana ini, dengan total setoran 7,8 miliar dolar AS. Tornado Cash telah menjadi pusat pencucian uang terbesar Ethereum. Namun, ketika lembaga penegak hukum AS mengeluarkan dokumen yang menyetujui Tornado Cash pada Agustus 2022, jumlah setoran dan penarikan Tornado Cash mingguan turun secara eksponensial, tetapi karena sifat Tornado Cash yang terdesentralisasi, tidak mungkin untuk menghentikannya di sumbernya, dan dana terus mengalir ke sistem untuk mencampur koin.

Analisis Model Pencucian Uang Kelompok Lazarus (Organisasi APT Korea Utara)

Organisasi APT (Advanced Persistent Threat) nasional adalah kelompok peretas teratas dengan dukungan latar belakang nasional yang menargetkan target spesifik untuk jangka waktu yang lama. Organisasi APT Korea Utara Lazarus Group adalah geng APT yang sangat aktif. Tujuan utama serangan itu adalah untuk mencuri dana, yang bisa disebut ancaman terbesar bagi lembaga keuangan global. Mereka bertanggung jawab atas banyak serangan dan kasus pencurian modal di sektor cryptocurrency dalam beberapa tahun terakhir.

Insiden keamanan dan kerugian serangan Lazarus di bidang kriptografi yang telah dihitung dengan jelas sejauh ini adalah sebagai berikut:

Lebih dari 3 miliar dolar AS dana dicuri oleh Lazarus dalam serangan cyber. Menurut laporan, kelompok peretas Lazarus didukung oleh kepentingan strategis Korea Utara untuk mendanai program nuklir dan misil balistik Korea Utara. Untuk itu, AS mengumumkan hadiah 5 juta dolar untuk memberlakukan sanksi terhadap kelompok peretas Lazarus. Departemen Keuangan AS juga menambahkan alamat terkait ke daftar OFAC Specially Designated Nationals (SDN), melarang individu, entitas, dan alamat terkait dari AS untuk berdagang guna memastikan kelompok yang didanai negara tidak dapat menebus dana tersebut, sehingga memberlakukan sanksi. Pengembang Ethereum Virgil Griffith dijatuhi hukuman 5 tahun 3 bulan penjara karena membantu Korea Utara menghindari sanksi menggunakan mata uang virtual. Pada tahun 2023, OFAC juga memberlakukan sanksi terhadap tiga orang yang terkait dengan Grup Lazarus. Dua dari yang dikenakan sanksi, Cheng Hung Man dan Wu Huihui, adalah pedagang OTC yang memfasilitasi transaksi kripto untuk Lazarus, sementara pihak ketiga, Sim Hyon Sop, memberikan dukungan keuangan lainnya.

Meskipun demikian, Lazarus telah menyelesaikan lebih dari $1 miliar dalam transfer aset dan pembersihan, dan model pencucian uang mereka dianalisis di bawah ini. Ambil insiden Atomic Wallet sebagai contoh. Setelah menghapus gangguan teknis yang dibuat oleh peretas (sejumlah besar transaksi transfer token palsu + pembelahan alamat ganda), model transfer dana peretas dapat diperoleh:

Gambar: Tampilan Transfer Dana Korban 1 Dompet Atom

Korban 1 mentransfer 304,36 ETH dari alamat 0xb02d… c6072 ke alamat hacker 0x3916... 6340, dan setelah 8 angsuran melalui alamat perantara 0x0159... 7b70, kembali ke alamat 0x69ca… 5324. Dana yang terkumpul sejak itu telah ditransfer ke alamat 0x514c… 58f67. Saat ini, dana masih berada di alamat ini, dan saldo ETH alamat tersebut adalah 692,74 ETH (senilai $1,27 juta).

Gambar: Tampilan Transfer Dana Korban 2 Atomic Wallet

Korban 2 mentransfer 1.266.000 USDT dari alamat 0x0b45... d662 ke alamat hacker 0xf0f7... 79b3. Hacker membaginya menjadi tiga transaksi, dua di antaranya ditransfer ke Uniswap, total 1.266.000 USDT; transfer lainnya ditransfer ke alamat 0x49ce… 80fb, dengan jumlah transfer sebesar 672,71 ETH. Korban 2 mentransfer 22.000 USDT ke alamat hacker 0x0d5a… 08c2. Hacker secara langsung atau tidak langsung mengumpulkan dana ke alamat 0x3c2e… 94a8 melalui beberapa angsuran melalui alamat perantara 0xec13... 02d6, dll.

Model pencucian uang ini sangat konsisten dengan model pencucian uang dalam serangan Ronin Network dan Harmony sebelumnya, dan semuanya melibatkan tiga langkah:

(1) Konsolidasi dana yang dicuri dan pertukaran: Setelah serangan diluncurkan, token yang dicuri asli diurutkan, dan berbagai token ditukar menjadi ETH melalui DEX dan metode lainnya. Ini adalah cara umum untuk menghindari pembekuan dana.

(2) Pengumpulan dana curian: Mengumpulkan ETH yang telah diurutkan ke beberapa alamat dompet sekali pakai. Dalam insiden Ronin, para peretas menggunakan 9 alamat tersebut, Harmony menggunakan 14, dan insiden Atomic Wallet menggunakan hampir 30 alamat.

(3) Transfer keluar dari dana curian: Gunakan alamat koleksi untuk mencuci uang melalui Tornado.Cash. Ini menyelesaikan seluruh proses transfer uang.

Selain memiliki langkah-langkah pencucian uang yang sama, juga terdapat tingkat konsistensi yang tinggi dalam detail-detail pencucian uang:

(1) Para penyerang sangat sabar. Mereka semua menggunakan hingga seminggu untuk melakukan operasi pencucian uang, dan mereka semua memulai operasi pencucian uang lanjutan beberapa hari setelah kejadian terjadi.

(2) Transaksi otomatis digunakan dalam proses pencucian uang. Sebagian besar tindakan pengumpulan uang memiliki sejumlah besar transaksi, interval waktu kecil, dan pola yang seragam.

Melalui analisis, kami percaya bahwa model pencucian uang Lazarus umumnya sebagai berikut:

(1) Bagi akun dan transfer aset dalam jumlah kecil dan beberapa transaksi untuk membuat pelacakan lebih sulit.

(2) Mulai memproduksi sejumlah besar transaksi mata uang kripto palsu untuk membuat pelacakan menjadi lebih sulit. Mengambil insiden Atomic Wallet sebagai contoh, 23 dari 27 alamat perantara semuanya adalah alamat transfer uang palsu. Teknologi serupa baru-baru ini ditemukan dalam analisis insiden Stake.com, tetapi insiden sebelumnya Ronin Network dan Harmony tidak memiliki teknologi interferensi ini, yang menunjukkan bahwa teknologi pencucian uang Lazarus juga telah ditingkatkan.

(3) Lebih banyak metode on-chain (seperti Tonado Cash) digunakan untuk pencampuran koin. Dalam insiden-insiden awal, Lazarus seringkali menggunakan bursa terpusat untuk mendapatkan modal awal atau melakukan OTC selanjutnya, tetapi belakangan ini bursa terpusat yang digunakan semakin sedikit, bahkan bisa dianggap bahwa mereka mencoba untuk menghindari penggunaan bursa terpusat sebanyak mungkin. Hal ini seharusnya terkait dengan beberapa insiden sanksi baru-baru ini.

VI. Sanksi dan Regulasi

Badan-badan seperti Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS dan lembaga serupa di negara lain mengadopsi sanksi terhadap negara, rezim, individu, dan entitas yang dianggap sebagai ancaman terhadap keamanan nasional dan kebijakan luar negeri. Secara tradisional, penegakan sanksi bergantung pada kerja sama lembaga keuangan arus utama, tetapi beberapa aktor jahat telah beralih ke cryptocurrency untuk menghindari perantara pihak ketiga ini, menciptakan tantangan baru bagi pembuat kebijakan dan lembaga sanksi. Namun, transparansi yang melekat pada cryptocurrency, dan keinginan untuk mematuhi layanan cryptocurrency, khususnya banyak pertukaran terpusat yang bertindak sebagai penghubung antara cryptocurrency dan mata uang fiat, telah membuktikan bahwa menjatuhkan sanksi dimungkinkan di dunia cryptocurrency.

Berikut adalah beberapa individu atau entitas yang terkait dengan cryptocurrency yang dikenai sanksi di AS pada tahun 2023, dan alasan sanksi OFAC.

Tether, perusahaan di balik stablecoin terbesar di dunia, mengumumkan pada 9 Desember 2023, bahwa mereka akan 'membekukan' token di dompet individu-individu yang terkena sanksi dalam daftar individu yang disanksi oleh Kantor Pengendalian Aset Asing (OFAC) AS. Dalam pengumumannya, Tether menganggap langkah ini sebagai langkah sukarela untuk 'mencegah potensi penyalahgunaan token Tether dan meningkatkan langkah-langkah keamanan.'

Hal ini juga menunjukkan bahwa penyelidikan dan hukuman terhadap kejahatan mata uang kripto telah memasuki tahap substantif. Kerjasama antara perusahaan inti dan lembaga penegak hukum dapat membentuk sanksi yang efektif untuk memantau dan menghukum kejahatan mata uang kripto.

Dalam hal regulasi Web3 pada tahun 2023, Hong Kong juga telah membuat kemajuan yang besar, dan sedang menyerukan untuk secara "patuh mengembangkan" pasar Web3 dan kripto. Ketika Otoritas Moneter Singapura mulai membatasi pelanggan ritel dari menggunakan leverage atau kredit untuk transaksi kripto pada tahun 2022, Pemerintah HKSAR mengeluarkan "Deklarasi Kebijakan tentang Pengembangan Aset Virtual di Hong Kong", dan beberapa talenta dan perusahaan Web3 pergi ke tanah yang dijanjikan baru.

Pada 1 Juni 2023, Hong Kong memenuhi deklarasi dan mengeluarkan "Pedoman untuk Operator Platform Perdagangan Aset Virtual". Sistem lisensi platform perdagangan aset virtual secara resmi diterapkan, dan lisensi Kelas 1 (perdagangan sekuritas) dan Kelas 7 (menyediakan layanan perdagangan otomatis) telah dikeluarkan.

Saat ini, organisasi seperti OKX, BGE, HKBiteX, HKVAX, VDX, Meex, PantherTrade, VAEX, Accumulus, dan DFX Labs sedang aktif mengajukan lisensi platform perdagangan aset virtual (VASP).

Chief Executive Li Jiachao, Sekretaris Keuangan Chen Maobo, dan orang lain sering berbicara atas nama pemerintah Hong Kong untuk mendukung peluncuran Web3 di Hong Kong dan menarik perusahaan kripto dan bakat dari seluruh dunia untuk membangun. Dalam hal dukungan kebijakan, Hong Kong telah memperkenalkan sistem lisensi untuk penyedia layanan aset virtual, yang memungkinkan investor ritel untuk melakukan perdagangan kripto, meluncurkan dana ekosistem Web3 Hub senilai $10 juta, dan berencana untuk berinvestasi lebih dari HK$700 juta untuk mempercepat pengembangan ekonomi digital dan mempromosikan perkembangan industri aset virtual. Hong Kong juga telah membentuk sebuah tim tugas pengembangan Web 3.0.

Namun, ketika langkah-langkah besar sedang diambil, peristiwa berisiko juga memanfaatkan momentum tersebut. Bursa kripto tanpa izin JPEX melibatkan lebih dari HK$1 miliar, kasus penipuan HOUNAX melibatkan lebih dari 100 juta yuan, HongKongDAO dan BitCuped diduga melakukan penipuan aset virtual... Kejadian-kejadian jahat ini menarik perhatian besar dari Komisi Regulasi Sekuritas Hong Kong dan polisi. Komisi Regulasi Sekuritas Hong Kong mengatakan akan mengembangkan panduan penilaian risiko untuk kasus aset virtual dengan polisi dan bertukar informasi secara mingguan.

Saya percaya bahwa dalam waktu dekat, sistem regulasi dan keamanan yang lebih lengkap akan membantu Hong Kong, sebagai pusat keuangan penting antara Timur dan Barat, membuka pelukannya untuk Web3.

Penafian：

1. Artikel ini dicetak ulang dari [aicoin]. Semua hak cipta milik penulis asli [SharkTeam]. Jika ada keberatan terhadap cetak ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
2. Penyangkalan Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi apa pun.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.