6月10日，巴比特發(fā)出消息稱，一款叫做 TokenStore 的理財錢包疑似跑路。區(qū)塊鏈安全公司 PeckShield(派盾)隨即介入對跑路資金展開追蹤調(diào)查。

6月10日，巴比特發(fā)出消息稱，一款叫做 TokenStore 的理財錢包疑似跑路。區(qū)塊鏈安全公司 PeckShield(派盾)隨即介入對”跑路”資金展開追蹤調(diào)查。

幾天以來，PeckShield數(shù)字資產(chǎn)護航系統(tǒng) (AML)，通過對一些涉及”跑路”的關(guān)鍵鏈上地址進行鎖定追蹤發(fā)現(xiàn)，本次跑路事件關(guān)乎超2,100名投資者和數(shù)億元數(shù)字資產(chǎn)。被卷走加密資產(chǎn)涉及：BTC、ETH、ETC、XRP、EOS、LTC、USDT 等多個主流加密貨幣。

截至目前，PeckShield 已經(jīng)追蹤到部分幣種的”跑路”流向，并在巴比特媒體和火幣交易所等生態(tài)伙伴的協(xié)助下，盡可能的幫助受害者挽回資產(chǎn)損失：

06月11日早晨，PeckShield追蹤到跑路資金中 EOS 資產(chǎn)，分別有25,803個 EOS 流入火幣交易所，1,581個 EOS 流入 ZB 交易所，XRP資產(chǎn)中，有281,807個 XRP流入幣安交易所，708,178個 XRP 流入火幣交易所。

06月11日晚間，火幣和 ZB 交易所分別對涉及的可疑賬號實施了”凍結(jié)”或”提幣功能限制”等緊急處理。

6月12日，PeckShield 追蹤到跑路資金中 ETH 資產(chǎn)，總計約36,271個 ETH 被分散在4個主要地址當中，暫未發(fā)現(xiàn)流入交易所。

06月13日下午，PeckShield 追蹤到跑路資金中 ETC 資產(chǎn)，已經(jīng)有5筆總計42,746個 ETC 流入一個疑似交易所的地址。

……

與此同時，已經(jīng)有將近千名”受害者”向 PeckShield 安全人員提供了一些相關(guān)交易地址，給 PeckShield 安全人員鎖定跑路資金流向提供了非常大的幫助。

整體而言，此次TokenStore 錢包”跑路”事件，所波及用戶數(shù)目，造成損失之大，涉及加密貨幣代幣種類繁多，波及面之廣，影響之惡劣觸目驚心。

PeckShield 正持續(xù)追蹤贓款進一步流向，并及時披露給媒體、交易所等生態(tài)伙伴，合大家之力，眾志成城，盡可能幫助受害者挽回資產(chǎn)損失。

關(guān)于 TokenStore 錢包，官方宣稱其具有“AlphaGo 智能搬磚套利”，“穩(wěn)賺不賠，收益穩(wěn)定”等功能，同時鑒于它采用推薦人獲取收益手段，吸引了大量用戶參與。

一般區(qū)塊鏈鏈上資產(chǎn)進行轉(zhuǎn)移/洗錢都會經(jīng)歷逃離追蹤和洗錢拋售兩個階段：

將資產(chǎn)分散至不同地址，進行批量轉(zhuǎn)移，以提高追蹤的難度;

等待合適時機，將贓款分批匯入交易所，進行洗錢。

此次 TokenStore 跑路事件涉及的加密貨幣共有 BTC、ETH、ETC、XRP、EOS、 LTC、USDT 等。

PeckShield 目前已經(jīng)追蹤到 BTC、ETH、EOS、XRP、ETC 等重點數(shù)字資產(chǎn)的流向情況，接下來將分幾個篇章分別向大家介紹。

ETH 篇

根據(jù)受害者反饋的信息，追查到其中有一部分 TokenStore 錢包的用戶最近 20 天頻繁與以下地址交互：

從 ETH 區(qū)塊鏈瀏覽器可以看到該地址于06月10日出現(xiàn)了”異動”，余額中 21,476 個 ETH 被轉(zhuǎn)移到了一個新地址0x5d9f…中，下圖為 ETH 轉(zhuǎn)移的動向圖。以 0x6634... 地址為例，該地址僅05月31日當天就有 398 筆資金流入，而這一天正是 TokenStore 官方宣稱『系統(tǒng)全面升級維護』的日子，至此之后 TokenStore 錢包就“消失”了，數(shù)千名用戶踏上了維權(quán)之路。

PeckShield 安全人員分析 TokenStore 跑路事件 ETH資產(chǎn)轉(zhuǎn)移的幾個階段：

大量用戶通過交易所提現(xiàn) ETH 至用戶在 TokenStore 生成的用戶地址中;

05 月 31 日前后，這些用戶存在于 TokenStore 的地址都向 0x6634… 地址轉(zhuǎn)賬;

而在 06 月 10 日，多達 21,476 個 ETH 從 0x6634xxx 地址轉(zhuǎn)移至 0x5d9f… 地址中。

這么多在 TokenStore 生成的地址在短時間內(nèi)均向 0x6634… 地址轉(zhuǎn)賬?這一行為非常的可疑，PeckShield 安全人員認為用戶存在 TokenStore 中的地址很有可能私鑰為他人控制了，是何人所為，相信大家炳若觀火。

由于以太坊網(wǎng)絡上創(chuàng)建地址沒有成本，地址沒有標記說明，用戶的資金被多次轉(zhuǎn)往了多個不同地址，這給資產(chǎn)追蹤帶來了很大難度。PeckShield 安全人員通過反復的查證地址關(guān)聯(lián)和流向，最終發(fā)現(xiàn)用戶的資產(chǎn)主要被匯聚到如下4個可疑地址：

EOS 篇

最早，06月11日，PeckShield 安全人員在捕獲一些關(guān)鍵地址后，就發(fā)現(xiàn)分別有

25,803 個 EOS 轉(zhuǎn)入火幣交易所，

1,581個 EOS 流入ZB 交易所，

交易所已經(jīng)對相關(guān)賬戶采取了凍結(jié)等舉措。

另外，根據(jù) PeckShield 安全人員深入追蹤發(fā)現(xiàn)，目前還有 320,077 個 EOS 存儲于12個賬戶中，且尚未發(fā)生轉(zhuǎn)移。

如下為截至目前，EOS 資產(chǎn)轉(zhuǎn)移路徑圖：

在此，PeckShield 安全人員還原了 TokenStore 跑路事件中 EOS 資產(chǎn)轉(zhuǎn)移的幾個階段：

TokenStore 錢包跑路后，用戶存放于錢包中的大量資金被迅速轉(zhuǎn)移至 newaccountcc 地址;

newaccountcc 將部分資金轉(zhuǎn)入火幣交易所;

之后，newaccountcc 中的剩余資金又被多次混淆到不同的地址和交易所。

在分析這些地址行為時，newaccountcc賬戶引起了 PeckShield 安全人員的重點關(guān)注，該賬戶創(chuàng)建于 2019 年 05 月31 日，第一筆資金就來源于 TokenStore 賬戶 交易：

之后 TokenStore 的充幣和提幣賬戶多次往該賬戶轉(zhuǎn)賬，而該賬戶在收到 EOS 后立即向火幣交易所進行了轉(zhuǎn)賬：

至此，PeckShield安全人員以 ETH，EOS 為例分析了此次 TokenStore 錢包跑路事件后的資產(chǎn)轉(zhuǎn)移情況，由于大量的未知資產(chǎn)還在流動，PeckShield 安全人員的追蹤工作還在持續(xù)進行中，更多資產(chǎn)的轉(zhuǎn)移詳情 PeckShield 安全人員會在后續(xù)文章中持續(xù)更新。

關(guān)鍵詞： TokenStore 理財錢包 跑路