图文还原币安被盗7074 BTC转账全过程

全球知名交易所币安5月08日凌晨发布公告称，当天凌晨1时15分，币安遭受黑客大规模系统性攻击。 黑客获取了大量API密钥，谷歌验证2FA码等信息。 , 一次性提取了 7,000 BTC。

这是继Cryptopia、DragonEx和Bithumb之后，自2019年以来第四个被黑客入侵的主要数字货币交易平台。 据区块链安全公司PeckShield数字资产护航系统数据显示，在此次黑客事件中，币安共损失了7074枚BTC（按当日价格计算价值约4200万美元），与整体数字货币市场不谋而合。 . 在复苏的关键时刻，突然袭击币安会不会成为刺激市场下行的又一黑天鹅？

PeckShield安全人员深入分析了黑客攻击的全过程，并对被盗链上的资产进行了全路径还原，发现：

1、黑客在攻击成功后没有及时卖出，大概率会长期持有该币。

2、黑客为避免被追踪，将被盗资产分批次多次转移，但只是最基本的换地址操作。

3、资产最终分散到7个主要的新地址，目前还没有检测到交易所的流入情况，也没有抛售的迹象。

通过以下三张数字资产全路径转移图，我们可以清楚地看到佛系黑客在币安被盗后24小时内从容“贩赃”的全过程。

第一步：20个主要去中心化存储地址

（图1：黑客将盗取的7074 BTC分发到20个主要地址）

大部分黑客攻击得手后，如果是团伙作案，第一步就是将资金转移到不知名的交易所，在事件曝光前悄悄抛售、套现、分赃。 然而，这次黑客攻击得手后，首先要做的是分散资金，将7074个BTC存放在20个主要（大于1个BTC）的新地址中，每个地址100到600个不等。

第二步：开始收集地址并进行资产转移

（图2：黑客开始组织资金）

在将被盗的7074个BTC分散存放后，7小时后，黑客再次开始整理资金，先清空20个地址中的2个地址，分别存放2个地址566个和671个BTC。 BTC 被聚合成 1,226 个 BTC，并转移到以 bc1qkwu 和 bc1q3a5 开头的两个新地址。 最终，519.9 BTC 的资金汇入了另一个地址，剩余的 707.1 BTC 作为最终分配的 7 个地址之一，没有任何变化。

第三步：资产最终分配到7个新地址，暂无变化

（图3：从币安盗取的7,074 BTC转账全过程）

通过之前的操作，黑客表达了进一步套取资产的意向，但并未立即进行。 又过了 5 个小时，从晚上 22:35 开始比特币历程，黑客收集了之前 20 个地址中的一些地址的余额，并将资金转移到以 bc1q2rdpy、16SMGihY9、1MNwMURYw、bc1qw7g5u、bc1qnf2ja、bc1qx3628、bc1q3a5hd 地址开头的 7 个新地址，前6个地址分别有1060.64个BTC，最后一个地址转了707.1个BTC，加上其他小地址（一个地址存了1.3个BTC），这次被币安盗走的7074个BTC几乎全部转完了。

截至目前，黑客散去后的7个主要地址均未发现进一步变化。 初步判断，黑客应该没有短时间内将赃物转移到交易所出售的意图，最终以每个地址1060个BTC进行分布式存储，或许只是为了方便存储管理。 总体来看，目前所有被盗资产都在黑客的掌控之中比特币历程，PeckShield数字资产护航系统对所有关联的黑客地址都实现了全程监控和实时告警。

附：被盗的7074个BTC最终留在主地址：

被盗资产最终分配地址

bc1q2rdpyt8ed9pm56u9t0zjf94zrdu6gufa47pf62

1060.64 比特币

16SMGihY94H8UjRcxwsLnDtxRt7cRLkvoC

1060.64 比特币

1MNwMURYw1LkPnnpda2DQkkUsXXeKL9pmR

1060.64 比特币

bc1qw7g5uxxl750t0h2fh9xajwuxp4qt634yh3vg5q

1060.64 比特币

bc1qx3628eh9tdnm0uzculu8k6r2ywfkc5zns2hp0k

1060.64 比特币

bc1qnf2ja3ffqzc3hskanjse6p8zag52fm6jgmmg9u

1060.64 比特币

bc1q3a5hd36jrqeseqa27nm40srkgxy8lk0v0tpjtp

707.1 比特币

PeckShield（派盾科技）是全球顶级的区块链数据和安全服务商。 对于商业和媒体合作（包括智能合约审计要求），请通过 Telegram、Twitter 或电子邮件（contact@peckshield.com）与我们联系。