暴露出来的只是冰山一角：深度挖掘ColonialPipeline事件背后隐藏的故事（下）

通过前面两篇文章，我们已经掌握了很多关于DarkSide的知识。接下来我们将基于这些知识来挖掘未知的DarkSide地址和勒索事件。

0x6. 探赜索隐：挖掘未知勒索事件

与上一小节不同的是，我们会考虑已知DarkSide地址参与支付过程和转移过程的情况；并且在挖掘勒索事件的过程中不断扩充DarkSide地址。挖掘的具体步骤如下：

以已知的25个DarkSide地址作为初始种子地址，记作 fresh_seeds ；同时初始化 traced_seeds 为空，用于记录所有被分析过的DarkSide地址。

对 fresh_seeds 中地址的资金来源与去向进行追踪。如果地址参与了赎金支付过程，在追踪资金去向的过程中有机会发现拆分交易；反之，如果地址参与的是赎金转移过程，在追踪资金来源的过程中可能发现拆分交易。当然，也可能在地址直接作为输入或输出地址的交易中发现拆分交易。由于赎金支付过程和转移过程存在不定长资金流，我们无法预知需要前向/后向追踪多长距离才能发现赎金拆分交易。根据经验，我们将前后向追踪的范围设置为4跳交易，得到交易图 Gtx (transaction graph)。完成追踪后将 fresh_seeds 添加到 traced_seeds 中。

从 Gtx 中识别勒索事件，结果记作集合 SE (event set)。准确来说，我们从 Gtx 中识别出赎金拆分交易，并将 Pout 、Sa、以及 Sd 完全一致的拆分交易归为一组，每组代表一起勒索事件。这里的勒索事件还需要额外符合两个特征：1）事件包含的所有拆分交易具有相同的拆分比例，且比例只能是80:20、85:15、90:10三者之一；2）事件涉及的勒索金额累计超过10万美元。

对 SE 中每个事件，检查其拆分交易中是否存在地址 Pout 、Sa、 Sd 不属于 traced_seeds 。如是，意味着我们发现了新的DarkSide地址，将这些地址和与它们同属一个钱包的其他地址作为新的 fresh_seeds 。

基于 fresh_seeds 重复步骤2～4 (记作一轮探索)，直到 fresh_seeds 为空。在此过程中， Gtx 会被不断扩充 (开始新一轮探索时不会重置 Gtx )。

基于最终的 Gtx ，识别勒索事件 (同样需要符合步骤3中列出的两个特征)。

经过5轮探索，我们最终识别了51起事件，涉事赎金累计约9300万美元。出乎意料的是，最近两起事件的赎金金额 (Colonial Pipeline和Brenntag支付的赎金都约为440万美元) 可能并不是DarkSide的历史最高记录。根据检测结果，2021年1月27日发生的一次勒索事件收取赎金约1500万美元，2021年2月13日也有一次价值1000万美元的勒索事件，而这两起事件的赎金拆分比例也的确符合拆分策略，都是90:10。

经过上述分析，我们从区块链上挖掘出了51起DarkSide参与的勒索事件，包括5月份发生的两起已知事件。

需要指出的是，我们的挖掘方法是保守的：

首先是赎金拆分交易的判定。步骤3仅将符合80:20、85:15、90:10这三种拆分比例之一的事件识别为有效事件，但根据DarkSide的赎金拆分策略，实际的拆分比例可能更多样化。

其次是DarkSide地址的判定。步骤4基于赎金拆分交易的输入地址和输出地址来扩充DarkSide地址，但根据前面建立的赎金流动模型，赎金的支付过程和转移过程中也充斥着DarkSide地址。

这也就意味着，我们挖掘出来的还不是DarkSide的全部阴暗面。

0x7. 结语

正如文章开头所说，Colonial Pipeline勒索事件到此告一段落，但留给我们的问题却远未解决。这篇文章中我们还原了Colonial Pipeline勒索事件中赎金的流动过程，剖析了DarkSide的赎金操纵行为，并基于行为特征挖掘出了DarkSide参与的其他勒索事件。然而我们所知的依然有限：一方面，Colonial Pipeline勒索事件并非终点，新的勒索软件攻击事件依然在不断地酝酿和出现；另一方面，在DarkSide之外，也存在着其它勒索软件服务提供商。还有诸多疑问需要一步厘清：其它基于RaaS的勒索组织有着怎样的赎金操控模式？如何识别DarkSide之外其他RaaS勒索组织实施的攻击事件？能否通过监控区块链上的交易来捕捉正在发生的勒索事件？上述问题的答案有待于我们进一步的探索，也期待在不远的将来能给大家分享更多更为深入的发现。

关于BlockSec

BlockSec团队以核心安全技术驱动，长期关注DeFi安全、数字货币反洗钱和基于隐私计算的数字资产保护，为DApp项目方提供合约安全和数字资产安全服务。团队拥有数十余名区块链安全研究人员，共发表20多篇顶级安全学术论文(CCS, USENIX Security, S&P)，核心创始人获得AMiner全球最具影响力的安全和隐私学者称号(2011-2020排名全球第六)。研究成果获得中央电视台、新华社和海外媒体的报道。独立发现数十个DeFi安全漏洞和威胁，获得2019年美国美国国立卫生研究院隐私计算比赛(SGX赛道)全球第一名。团队以核心技术驱动，秉持开放共赢理念，与社区伙伴携手共建区块链安全生态。

查看更多

—-

编译者/作者：BlockSec

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。