中心化机构被盗后通过去中心化服务进行洗钱的案例还屈指可数，但类似的洗钱手段已经在 DeFi 攻击、跑路中呈现出增长趋势。

2021 年 8 月 19 日，日本交易所 Liquid 热钱包中价值 9,000 多万美元加密资产被盗，据 PeckShield「派盾」统计包含：约 480 万美元的 BTC （107.43 枚）、3,250 万美元的 ETH、4,490 万美元的 ERC-20 代币（近百种代币：AAVE、UNI、LINK、SNX、USDC）、183 万美元的 TRON （含 USDT-TRON 和 2,393,334.86 枚 TRON）、1,290 万美元的 XRP （11,467,479 枚）。

据 PeckShield「派盾」旗下反洗钱态势感知系统 CoinHolmes 显示，截至目前 ETH 代币暂未发生异动，仍锁在攻击者的地址里。

攻击者得手后，首先将 ERC-20 代币快速转入 UniSwap、SushiSwap、1inch 等 DEXs （去中心化交易所）中，通过 DEXs 将所获近百种代币兑换为 ETH 或通过 Ren 跨链桥兑换为 BTC，再将所兑换的 ETH 通过跨链桥转至以太坊，最后从链上混币器 Tornado.cash 流出，整个流程十分娴熟，这一点也可以从攻击者首先从处置 ERC-20 代币看出。

由于所盗的 ERC-20 代币中有些代币流动性较差，容易遭到发行商冻结、交易回滚或者硬分叉等方式阻碍代币转出，攻击者首先依次将这些代币转入不需要 KYC、无需注册登录、即用即走的 DEXs，然后将大部分代币转换为主流代币 ETH，并汇集到新地址，再从隐私协议 Tornado.cash 流出。

从 Etherscan 上可以看出，自 8 月 19 日上午 4 时 19 分开始，攻击者开启「价值优先」的扫荡式兑换，首先从 USDT、USDC、DAI 等稳定币开始清空，然后赶在代币被冻结前将它们转入 DEXs。

这是迄今为止，第二起中心化机构被盗通过去中心化机构洗钱的安全事件。据 PeckShield「派盾」统计，目前中心化机构被盗后，通过去中心化服务进行洗钱的案例还屈指可数，但类似的洗钱手段已经在 DeFi Protocols （去中心化协议）攻击、跑路中呈现出增长的趋势。

新兴洗钱三部曲

攻击者在得手后，大致将洗钱的流程分为三步：

• 批量转移：将所盗 ERC-20 资产转入 DEXs，避免被冻结、回滚，同时将所盗资产进行整合，为下一步实施清洗做准备工作；
• 批量兑换：通过 DEXs 或跨链桥将 ERC-20 代币兑换为 ETH 或 BTC，通过跨链桥将加密资产归置，为批量转移到隐私协议做准备；
• 隐蔽阶段：将归置后的 ETH 或 BTC 转移到 Tornado Cash、Typhoon、Wasabi Wallet 等混币工具中，混淆资产来源和最终收益者，抹除非法资产的痕迹，混淆资产源头逃离追踪。

(责任编辑：admin)