攻击 Nexus Mutual、 EasyFi 和 FinNexus 的黑客是同一个吗？

剖析了 Nexus Mutual、 EasyFi 和 FinNexus 黑客的链上转账记录，我们发现了一些蛛丝马迹。

撰文：Pastebin 用户 CRDT

众所周知，2020 年 12 月 14 日，一位不知名的黑客从 Nexus Mutual DeFi 首席执行官的钱包中偷走了 370,000 个 NXM。2021 年 4 月 20 日，发生了另一起黑客攻击，但是这次是另一个名为 EasyFi DeFi 的项目遭到攻击。在此次黑客袭击中，黑客窃取了将近三百万个 EASY 代币。

2021 年 5 月 17 日，FinNexus DeFi 项目的系统遭到黑客攻击，其中黑客能够铸造数量为 3.23 亿个 FNX 代币，并将其在公开市场上出售。所有上述三次黑客攻击都有一个类似特征。黑客旨在获取钱包或私钥的访问权限，进而能够获取资金。而且相同的是，这些黑客攻击是在同一个小时进行的。

我们在本文中发布的所有调查结果均来自我们自己的独立调查，这些调查结果可能与官方调查结果有所不同。

从媒体报道中，我们了解到属于攻击 Nexus Mutual、EasyFi、FinNexus 的黑客的 ETH 钱包地址。现在分别看一下所有这些黑客的每一个地址。

按顺序开始。我们讨论的第一次黑客攻击是袭击了 Nexus Mutual，攻击发生在 2020 年 12 月。Etherscan 区块浏览器显示有多个地址属于该黑客。但我们先关注其中一个地址， Etherscan 对其所打的标签为 Fake_Phishing4636。

这位黑客的地址前导数为
0x0adab45946372c2be1b94eead4b385210a8ebf0b。
ETH 地址
0x0adab45946372c2be1b94eead4b385210a8ebf0b 与
0x31499E03303dd75851a1738E88972CD998337403
（您需要记住这个地址）进行了直接交易。

我们观察的第二个地址是 EasyFi 攻击中的黑客地址。这个地址在 Etherscan 中没有打标签。但根据媒体报告，我们了解到这个地址
0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37。

这个黑客的钱包被发现从已知的地址 0x31499E03303dd75851a1738E88972CD998337403 收取到一笔转账存款。

同时， EasyFi 黑客的地址也与 0x31499E03303dd75851a1738E88972CD998337403 有过一笔直接交易，是 EasyFi 黑客进行的最后一笔转出交易。

另外，EasyFi 黑客从地址 0x77BEB16e4DB0686e36dbf01142685275785775Ed 执行过多次直接交易。

https://etherscan.io/tx/0xcf99a55af6ee7a3d46f121fe091d2e29720881a72b5876dac25068fb73405ec5
https://etherscan.io/tx/0xb189754f07f00f3e32fbfd3e60f34686afd5209c7ccfe281c7ee5ad5ba514270

还有这些交易：

https://etherscan.io/tx/0x4d6d6c5d6231614db587b52d1f8e4d58c8b804032f5ee959344ac47c51b046e6
https://etherscan.io/tx/0x8ecd760060c60cb64520d803774a08c83210aac06a0ebbfcb436a5ffdc7348f5
https://etherscan.io/tx/0xd843d0b9300b1cdc79c0e1280127163794c7df6c87dca06cb128b232779f0291

地址
0x77BEB16e4DB0686e36dbf01142685275785775Ed
也是基于地址
0x31499E03303dd75851a1738E88972CD998337403

https://etherscan.io/tx/0x7d90cbac9ff954555ee9e927598ff5daee9c3396451262fa77c44fab6bda25c0

就我们所知，与 Nexus Mutual 黑客地址不同的是， EasyFi 黑客的地址与 0x31499E03303dd75851a1738E88972CD998337403 地址不是存在一笔直接交易，而是多个交易。请记住 0x31499E03303dd75851a1738E88972CD998337403 这个地址，因为我们之后会很多次遇到这个地址。

现在看一下 FinNexus 黑客的地址。从媒体报道中得知，地址是 0x5EbC7d1Ff1687A75f76c3EdFAbCdE89D1C09Cd5F，这一地址在区块浏览器 Etherscan 中有标签。我们没有观察到地址 0x5EbC7d1Ff1687A75f76c3EdFAbCdE89D1C09Cd5F 和地址 0x31499E03303dd75851a1738E88972CD998337403 的直接互动。

但通过地址 0x2Da3a8738c34fFB35182670bcb76Ad722240bcC0 存在一次间接互动。尽管事实上黑客刻意将地址 0x31499E03303dd75851a1738E88972CD998337403 隐藏起来，我们依然能够发现这一关联。FinNexus 黑客的主要地址与地址 0x2Da3a8738c34fFB35182670bcb76Ad722240bcC0 有过一次直接交易。

这一地址与地址 0x1cE5f1fe7d8543A0046E521302C3A21734309302 有两笔 FNX 代币转帐转出交易。

https://etherscan.io/tx/0x0403a2a195c94203ccc36c3a481328b478742bbb390e7ab7debbc44de534abcd
https://etherscan.io/tx/0x84aaa19f5b8bb5ac58047eac0d462bdf9f7631a4d7a2a9c911718dfc35845584

接下来，地址 0x1cE5f1fe7d8543A0046E521302C3A21734309302 与地址 0x67fe5B5343f963C7043cE551FADBa84a3aD6473A 存在多笔交易：

https://etherscan.io/tx/0xdc54b9fc18773e04365710ca3f243c47e196218f1855d5d177ec45598c1a838c
https://etherscan.io/tx/0x0403ec450fd3fd3ef1915cbcf0e5a3e3c679b81188399ac09bb7c3bf8ef21f2e
https://etherscan.io/tx/0xffe4d170dd4461a173acaa694dc9220755f0bfcba0883723ef843e7b4569de8d
https://etherscan.io/tx/0x968bd9ead37db5d7c7148ac5c0bd6860032a952f517d180713efeaf8dfd6971f
https://etherscan.io/tx/0x7ef4693769adb3f1ee362ae0c77e695c7fb94ac291da736efd28aee554f7f3f3

两者之间共计有 12 笔交易。

另外，地址 0x67fe5B5343f963C7043cE551FADBa84a3aD6473A 收到过一笔 Tornado Cash 存款。

正是地址 0xA29bD5815AEA7ac88E9F3AaDd8F477675EDAD404 从地址 0x67fe5B5343f963C7043cE551FADBa84a3aD6473A 进行的转账，数目约相当于 1 ETH。

0xA29bD5815AEA7ac88E9F3AaDd8F477675EDAD404 地址在交易中存入 Tornado Cash：

接下来，地址 0xA29bD5815AEA7ac88E9F3AaDd8F477675EDAD404 基于地址 0x31499E03303dd75851a1738E88972CD998337403 进行了交易。

您也可以看到很多直接交易
(共计 28 笔交易) 和
https://etherscan.io/tx/0x61324b4a3624eccf5c69e7fb4292f3f22ccf295d07dbf866679a6c38ce2df0bf 。

地址 0x67fe5B5343f963C7043cE551FADBa84a3aD6473A 有一笔 124,977.5383 USDT 代币转出至地址 0x860Dc1b24f96F59F4ec25ca439bcB9cDD6c1a7B0：

地址 0x860Dc1b24f96F59F4ec25ca439bcB9cDD6c1a7B0 与已知的地址 0x31499E03303dd75851a1738E88972CD998337403 存在关联，其最后一笔交易

类似，地址 0x860Dc1b24f96F59F4ec25ca439bcB9cDD6c1a7B0 也与地址 0x31499E03303dd75851a1738E88972CD998337403 利用同一个中间钱包 0x67fe5B5343f963C7043cE551FADBa84a3aD6473A 发生了关联。

因此，我想谈谈地址 0x5EbC7d1Ff1687A75f76c3EdFAbCdE89D1C09Cd5F 的一些奇怪特征，该地址属于 FinNexus 攻击中的黑客，这个地址在 Etherscan 中看起来像个正常钱包，但 Bloxy 和 Bitquery 等区块浏览器中，合约 0x5EbC7d1Ff1687A75f76c3EdFAbCdE89D1C09Cd5F 是由地址 0x78d147015a9ef3ed9f9011fa394561670dc787cb 通过以下交易创建。

因此，Nexus Mutual、EasyFi 和 FinNexus 项目遭遇的黑客攻击不仅在攻击的性质存在关联，而且与同一地址 0x31499E03303dd75851a1738E88972CD998337403 都产生了关联。这表明上述这些黑客攻击都是由同一位黑客（或同一组黑客）实施的。
那让我们试图挖一挖已知地址 0x31499E03303dd75851a1738E88972CD998337403 的老底。先找到拥有这个地址 0x31499E03303dd75851a1738E88972CD998337403 的那个人。

地址 0x31499E03303dd75851a1738E88972CD998337403 与地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 存在众多互动交易：

涉及到 9 笔不同代币的直接交易，从链接中可以看出：

地址 0x31499E03303dd75851a1738E88972CD998337403 与地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 两个地址之间直接互动交易的次数为：18 笔交易 (!!!)。

接下来，地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 从地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 收到第一笔存款。

地址 0x834e6bedc304c4c610557e9ffaf0d4ec310b881b 是由地址 0x0AAf72DA643570Da1bF76E8b3063C3f378b3D3D4 在这笔交易中创建。

地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 与地址 0x0AAf72DA643570Da1bF76E8b3063C3f378b3D3D4 存在多笔交易：

以及 21 笔直接的代币交互交易。

地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 和地址 0x0AAf72DA643570Da1bF76E8b3063C3f378b3D3D4 之间的交互交易总数量达到 35 笔 (!!!).

地址 0x0AAf72DA643570Da1bF76E8b3063C3f378b3D3D4 属于 Anton Dziatkovskii. Anton Dziatkovskii 在以下社交媒体渠道中公开表示，他拥有 0x0AAf72DA643570Da1bF76E8b3063C3f378b3D3D4 这一地址：

谈到 Anton Dziatkovskii，我们知道他是 DeFi 项目平台的开发者，智能合约的开发者，智能合约安全领域专家，他是一位电脑专家，自封的白帽黑客，加密货币交易者，以及服务过很多项目的安全漏洞悬赏企业的管理者。
同时，Anton Dziatkovskii 也是 MicroMoney 项目的联合创始人 , UBAI 项目的教育总监。UBAI 开发的产品之一是 BTCNext 交易所。Anton Dziatkovskii 也是 QDAO DeFi 项目的联合创始人。 Anton Dziatkovskii 同时是 NoahCity 项目团队成员之一。 Anton Dziatkovskii 是 Platinum Fund 项目团队的创始人，后者开发 DeFi 项目和区块链解决方案平台。 Anton Dziatkovskii 与 SpaceSwap DeFi 项目的开发及其可能的联合创始人存在直接关联。 Anton Dziatkovskii 是 SpaceSwap 项目的赏金计划经理，他的 bitcointalk 用户名 Cubus 的个人资料或在欺诈纠纷中看到上述资料。

现在谈谈 Anton Dziatkovskii 的个人资料 (链接):

地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 与地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 存在直接交易：

另外还有 15 笔代币交易。地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 和地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 之间的直接交易次数达 28 笔 (!!!)。另外还有几笔相关交易采用了中间地址 0xDaEB3B152bE7ac786E79122C4655594e7808587D。
地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 与 Anton Dziatkovskii 的地址 0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4 有关联：

https://etherscan.io/tx/0xc75a093e8da8232cda46e64a244d08ea77ef53e3cfd3879c851f24acdef8a06e
https://etherscan.io/tx/0xff9211c8a521f000d9e9f96bf78c5f1630892a7c42f8858aa779dfde9deb54c1
https://etherscan.io/tx/0x9a204b1f662e00747961b31ad6ba858d1b38fbc31f1f8c4cc56e3359d9ca8a86
https://etherscan.io/tx/0x6d4194f76b4dbeac399be2a096684ad4e1347e3928cfb674c339cbc186391d1e
https://etherscan.io/tx/0xba9a9807e2969d5f0d9296426492a38cdcd4e4b8071c64e7d453f7c63b32f4cd

地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 与地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 存在关联（与地址 0x31499E03303dd75851a1738E88972CD998337403 进行了很多交易，至少包括这两笔交易：

https://etherscan.io/tx/0xa6e43e8d7ee9455ebc5291a031548a346fcf4176df41f4201ded66436ab9b115
https://etherscan.io/tx/0xadc4495b302dcb747c7f1db98d79f588ce42ec88369bd653fbfe9e790fdcaaa1

所有这些都意味着黑客的地址 0x31499E03303dd75851a1738E88972CD998337403 与地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 存在很多互动交易，因此两条链路在地址 0x0aaf72da643570da1bf76e8b3063c3f378b3d3d4 产生了交叉，而这一地址属于 Anton Dziatkovskii：

第一条链路：在中间地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 的帮助下 (为地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 奠定基础)；

第二条链路则是通过中间地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8。

地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 与地址 0x5a6a52a7bf22813882e988135a7d2be805bb0649 通过众多交易产生了关联：

另外还有 58 笔交易。

总计 69 笔交易 (!!!)。

地址 0x5a6a52a7bf22813882e988135a7d2be805bb0649 则是奠基石
https://etherscan.io/tx/0x9e872cf2555bd5b07f1420b2195f9e397190971ea928725158ee7103142f801c ，构建了地址 0x71e0d074bb70fdc5345f986e3435117f52afcebb。QDAO DeFi 项目所发行的 QDAO 代币的智能合约的创建者，而 Anton Dziatkovskii 是该项目的联合创始人：

https://etherscan.io/address/0x3166c570935a7d8554c8f4ea792ff965d2efe1f2

地址 0x71e0d074bb70fdc5345f986e3435117f52afcebb 则是 BNX 代币的智能合约的创建者，改代币属于 BTCNext 交易所，后者属于 UBAI 项目旗下，而 Anton Dziatkovskii 也是其联合创始人。

地址 0x71e0d074bb70fdc5345f986e3435117f52afcebb 也与地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 多次进行过联手交易。

地址 0x5a6a52a7bf22813882e988135a7d2be805bb0649 也与地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2 有过几笔直接交易：

https://etherscan.io/tx/0xd016bd35a947a95af6505db3f426b53d9429f21705cd340f29cf96d6bb7d478a
https://etherscan.io/tx/0xf7adf5ff89bb7a00bbaf7dbc81bf8a889f01139766f45756f22615a3bebbbadf

以及以多种代币进行的交易，以及使用中间地址 0x3c586d0e07f312a180ec46d4c27d831731c41d23 进行了多笔交易。
地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2 也与地址 0x4664db097caC5E006AC94705D3C778f2aC896AA8 多次联手。

仅地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2 与地址 0x834e6BEdC304C4C610557e9fFAf0D4Ec310b881B 有过一次直接交易，而正是这一地址创建了地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 ，与上述黑客事件中都牵扯到的地址 0x31499E03303dd75851a1738E88972CD998337403 有过多次交易。

交易还采用了中间地址 0x3c586d0e07f312a180ec46d4c27d831731c41d23。

地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2 则是 MILK2 代币和 SHAKE 代币智能合约的创建者，后者属于 SpaceSwap 项目，而 Anton Dziatkovskii 与该项目也存在一定直接关联。

地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd2 是 CNYQ 代币和 JPYQ 智能合约的创建者，后者属于 QDAO DeFi 项目 , Anton Dziatkovskii 也是该项目的联合创始人。

地址 0x81cfe8efdb6c7b7218ddd5f6bda3aa4cd1554fd 是 NOAH ARK 代币智能合约的创建者，代币 NOAHP 属于 w NoahCity 项目， Anton Dziatkovskii 则是该项目开发团队的一员。

我想指出以下几点，与 EasyFi 黑客地址 0x83a2EB63B6Cc296529468Afa85DbDe4A469d8B37 相关联的许多钱包地址（包括一些中间地址）在其余额中都有 MILK，MIRK2，SHAKE，NOAH 和 QDAO 代币。即使是地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 （与我们已熟知的常见黑客地址 0x31499E03303dd75851a1738E88972CD998337403 也有许多相互交易）中也包含这些代币。

顺便说一句，地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 的余额上有 BABYMILK 代币（SpaceSwap v2 的 BabyMilk 测试代币）。与此同时，地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 在该代币持有榜中排名第 13。通常，排名如此考前的代币持有者可能是项目的共同所有者或项目中的主要投资人。

另外，地址 0x1aa6eb6e5752cc57fd32c91c089083f7ac99c912 （与上述黑客地址 0x31499E03303dd75851a1738E88972CD998337403 有过多次互动交易），与地址 0x72d49544D17e3C98B0f94D97eE851981279f3aa9 有过直接关联：

https://etherscan.io/tx/0x11cf0326b7b0ee31db33231d2b5eac63763d323f065a72bbfe77baf147e90fe7
https://etherscan.io/tx/0x11cf0326b7b0ee31db33231d2b5eac63763d323f065a72bbfe77baf147e90fe7

地址 0x72d49544D17e3C98B0f94D97eE851981279f3aa9 同样属于 SpaceSwap 项目， Rarible 网页可以予以确认。

通过审视区块参数，我们可以确定 Nexus Mutual 黑客将资金发送到：

1. 通过交易将 renBTC 兑换为 BTC。通过一笔交易将资金抽走。之后转出到 BTC 地址 bc1qmyxuldmsec6xm7gm7dnmmth4lz776tr5mtluvp。

2. 通过交易将 renBTC 兑换为 BTC。
通过一笔交易将资金抽走。之后转出到 BTC 地址 bc1q6qsnqt98g3aggqy6adlpxkgngughwc66f93dve。

3. 通过交易将 renBTC 兑换为 BTC 。通过一笔交易将资金抽走。之后转出到 BTC 地址 bc1qun448hv5cudqlwrmghju58jnprkguy48emtj8a 。

通过审视区块参数，我们可以确定 EasyFi 黑客将资金发送到：

1. 通过交易将 renBTC 兑换为 BTC。通过一笔交易将资金抽走。之后转出到 BTC 地址 bc1qfl085d0fxy8s6grja5qf8cgqvx8w94ufaygg9y 。

2. 通过交易将 renBTC 兑换为 BTC。通过一笔交易将资金抽走。之后转出到 BTC 地址 17WFZENdcgkCvVjENQWJnqwXyiCkgTdGbi 。

3. 通过交易将 renBTC 兑换为 BTC。通过一笔交易将资金抽走。之后转出到 BTC 地址 1395hgVUB2P7yv145sRbt6Ykbi3qargnoD。

4. 通过交易将 renBTC 兑换为 BTC。通过一笔交易将资金抽走。之后转出到 BTC 地址 1DzGYwnUKu9ukGBKm8kTvoezjfCQ2qLwYr。

通过审视区块参数，我们可以确定 FinNexus 黑客将资金发送到：
在本文写作之时，FinNexus 黑客只存了一笔 Tornado Cash 代币。

我们可以观察到黑客通过 Tornado Cash 交易将资金抽走，这意味着 ETH-地址 0x996f5CcbF2856137744603b382dE559b78a096fC 是 FinNexus 黑客利用 Tornado Cash 发送 10 个 ETH 交易的收款方。

来源链接： pastebin.com

攻击 Nexus Mutual、 EasyFi 和 FinNexus 的黑客是同一个吗？

已上线 Arbitrum 的 Abracadabra 如何通过生息资产构建链上稳定币协议？

下周前瞻 | CBDC 全球进程加速，基建法案将迎美众议院投票

加密社区应该从 Linux 开发模式中学到什么？