江洋大盗一直在币圈出没江湖。据相关数据显示,近两年有不断增长的趋势,去年2022年盗窃总额已达38亿美元。这一半归功于来自朝鲜的黑客教派的繁荣。
发现超过82%的蒙面窃贼喜欢攻击DeFi协议。Defi(去中心化金融)是指在没有银行等传统中介的情况下,在区块链上实现各种金融服务,并且是通过智能合约(smart contract),即依靠里面的代码编程来维持交易。
代码中有错误或漏洞吗?是的,有不少,所以小偷应该会联合起来对付他们。例如,去年10月,一个名叫Avraham Eisenberg的26岁大胡子美国男子从DeFi平台Mango窃取了1.1亿美元的资产,最近在波多黎各被捕。
他的伎俩是故意在短时间内将芒果平台上的芒果币从3毛钱炒到90毛钱,然后暴涨获利,再依靠这种虚假的暴利作为抵押,然后利用代码漏洞,在短短几分钟内从芒果提取并借用价值1.1亿美元的各种代币,导致几乎掏空了整个芒果平台用户的旧钱。看,DeFi这么容易被攻击。
另一种常规攻击是针对DeFi跨链桥。什么是跨链桥?总的来说,每个区块链系统就像一条平行的高速公路,但不幸的是,它们相互之间并不相连,而且是支离破碎的。比如我在以太坊有一些以太坊的资产,我想把它们搬到索拉纳上的交易平台Orca。但是双方之间没有所谓的大动干戈,必须在两条高速公路之间搭建桥梁,方便沟通和交易。这就是跨链桥的原因。跨链桥类型实际上分为集中式服务(由第三方机构运营)和DeFi(即代码维护)。可惜不管是什么样的桥,往往都是小偷可以利用的豆腐渣工程。
去年币圈最大的盗窃案是6.25亿美元,发生在跨链桥Ronin上。Ronin是帮助一款名为Axie Infinity的NFT游戏中的用户将他们的游戏币兑换成其他加密货币的桥梁(这家游戏公司来自越南,但其主要用户来自菲律宾)。黑客闯入Ronin Bridge,从交易验证器中窃取了5个秘密密钥(相当于获取了提取令牌的密码),从而轻松扫光了里面的资产。据说朝鲜军队是这次盗窃的幕后黑手。
偷钱只是江洋大盗的第一步,如何洗干净换成正规货币成了大学问。2022年,币圈洗钱规模已经达到238亿美元。数量之所以如此巨大,是因为窃贼窃取加密资产后,实际上很难一下子摆脱掉。他们需要长期放在自己的秘密钱包里,然后尝试分批称重,掩盖自己的足迹,慢慢转移到币圈的一些交易平台,兑换成现金。随着时间的拖延,盗贼手中的加密资产会逐渐升值,洗出来的数额会越来越惊人。
2022年2月,美国破获价值24亿美元的巨额洗钱案。犯罪的主角是一对性格古怪的夫妇。丈夫是俄罗斯血统的技术宅男,妻子把自己炒作成营销出身的企业家。她逐渐成为一个风格乖张的网络大名人,她喜欢写和唱rapper。在歌词中,她还写到自己是华尔街的鳄鱼。那时候大家还不明白那个女人的霸气。小两口上头条,吃瓜群众顿时恍然大悟。
其实这是发生在2016年8月的一个案例。当年,一名黑客在Bitfinex(2012年在香港成立的大型加密货币交易平台)盗取了12万个比特币,放入一个电子钱包中(当时总价值约6000万美元,现在已升值至约24亿美元)。失窃后,这个钱包的地址立即被公开(区块链账本中公开的信息让我们知道比特币在哪个钱包里,有多少,但我们不知道失主的真实身份),所以这里的比特币窃贼很长一段时间都不敢动。
直到2017年1月,钱包里的比特币开始出现移动的迹象,它流向了一个名为Alphabay的黑市网站(买卖双方专注于毒品、枪支、违禁药品、假身份证、黑客工具等一系列非法活动)。原本流向邪恶版“淘宝”的比特币,无异于毁尸灭迹。幸运的是,2017年7月,Alphabay的加拿大创始人在泰国被捕,网站被封禁。警方能够在一系列缴获的证据中找到线索,并慢慢将这对年轻夫妇与2016年的这起比特币盗窃案联系起来。
这对年轻夫妇是否是这起令人震惊的案件背后的真凶尚未定论,但两人确实控制着94000个比特币的钥匙,洗钱罪难逃。这些回收的比特币的归属也是群体纠纷。美国政府准备直接没收,Bitfinex打算收回。那些年,Bitfinex的那些小散户更想把他们追回来。笔者一直认为小散户最可怜。当时虽然买的少,账户里可能只有30~50个比特币,但毕竟是低价买的,准备长期保存。唉,结果一夜之间就没了,当年Bitfinex给出的补偿方案也不划算。现在50个比特币的价值是100万美元。
俗话说,做贼千日,如何防贼千日?但在币圈的世界里,防不胜防,除此之外别无出路,小偷的盗窃洗钱手段也越来越神奇。