CHA:THORChain連遭三擊 黑客會是同一個嗎？

據慢霧 AML 團隊分析統計，THORChain 三次攻擊真實損失如下：

2021 年 6 月 29 日，THORChain 遭 “假充值” 攻擊，損失近 35 萬美元；

2021 年 7 月 16 日，THORChain 二次遭 “假充值” 攻擊，損失近 800 萬美元；

2021 年 7 月 23 日，THORChain 再三遭攻擊，損失近 800 萬美元。

這不禁讓人有了思考：三次攻擊的時間如此相近、攻擊手法如此相似，背后作案的人會是同一個嗎？

慢霧 AML 團隊利用旗下 MistTrack 反洗錢追蹤系統對三次攻擊進行了深入追蹤分析，為大家還原整個事件的來龍去脈，對資金的流向一探究竟。

攻擊概述

本次攻擊的發生是由于 THORChain 代碼上的邏輯漏洞，即當跨鏈充值的 ERC20 代幣符號為 ETH 時，漏洞會導致充值的代幣被識別為真正的以太幣 ETH，進而可以成功的將假 ETH 兌換為其他的代幣。此前慢霧安全團隊也進行了分析，詳見：假幣的換臉戲法 —— 技術拆解 THORChain 跨鏈系統“假充值”漏洞。

根據 THORChain 官方發布的復盤文章，此次攻擊造成的損失為：

比特幣礦企Marathon獲得200兆瓦級的托管協議:金色財經消息，比特幣礦企Marathon通過與托管服務商Applied Blockchain的交易，正在為其比特幣采礦業務獲得至少200兆瓦特級的額外能源。根據周一的公告，該公司將在兩個托管設施中部署大約66,000臺以前購買的礦機，代表每秒9.2個艾哈希（EH/s）的哈希率。（theblock）[2022/7/19 2:21:51]

9352.4874282 PERP1.43974743 YFI2437.936 SUSHI10.615 ETH

資金流向分析

根據官方提供的黑客地址，慢霧 AML 團隊分析并整理出了攻擊者相關的錢包地址情況如下：

經 MistTrack 反洗錢追蹤系統分析發現，攻擊者在 6 月 21 號開始籌備，使用匿名兌換平臺 ChangeNOW 獲得初始資金，然后在 5 天后 (6 月 26 號) 部署攻擊合約。

比特幣礦企Marathon Digital二季度開采707個比特幣 持有量增加到10,055 枚:金色財經消息，比特幣礦企Marathon Digital (MARA) 第二季度產出707枚比特幣，比一年前的第二季度增長了 8%，但低于第一季度開采的 1,259 個。原因是“運營障礙”，包括維護問題和為該公司的Hardin、MT 鉆機供電的發電廠的嚴重風暴，以及德克薩斯州近30,000 臺已安裝礦機的供電持續延遲。

此外，Marathon自2020年10月以來一直沒有售出比特幣，現其持有的比特幣已增至10055枚，公允市值為1.989億美元。（Coindesk）[2022/7/8 1:59:13]

在攻擊成功后，多個獲利地址都把攻擊獲得的 ETH 轉到混幣平臺 Tornado Cash 以便躲避追蹤，未混幣的資金主要是留存在錢包地址 (0xace...d75) 和 (0x06b...2fa) 上。

慢霧 AML 團隊統計攻擊者獲利地址上的資金發現，官方的統計遺漏了部分損失：

29777.378146 USDT78.14165727 ALCX11.75154045 ETH0.59654637 YFI

Web3教程協議RabbitHole發放NFT紀念徽章:3月13日消息，Web3教程協議RabbitHole宣布向早期參與者發放NFT紀念徽章，在2022年2月18日之前完成至少一項RabbitHole技能的用戶有資格鑄造。該系列中有六種徽章，用戶收到的徽章數量取決于完成的RabbitHole技能數量，該NFT在Polygon網絡，該NFT作為鏈上憑證代表用戶學到的技能，因此不能轉讓。[2022/3/13 13:53:14]

根據分析發現，攻擊者在攻擊合約中調用了 THORChain Router 合約的 deposit 方法，傳遞的 amount 參數是 0。然后攻擊者地址發起了一筆調用攻擊合約的交易，設置交易的 value(msg.value) 不為 0，由于 THORChain 代碼上的缺陷，在獲取用戶充值金額時，使用交易里的 msg.value 值覆蓋了正確的 Deposit event 中的 amount 值，導致了 “空手套白狼” 的結果。

根據 THORChain 官方發布的復盤文章，此次攻擊造成的損失為：

NBA球星Cole Anthony將推特頭像更換為Creature World NFT作品:9月30日消息，美國奧蘭多魔術隊籃球運動員科爾·安東尼（Cole Anthony）將推特頭像更換為Creature World NFT作品。[2021/9/30 17:18:11]

2500 ETH57975.33 SUSHI8.7365 YFI171912.96 DODO514.519 ALCX1167216.739 KYL13.30 AAVE

慢霧 AML 團隊分析發現，攻擊者相關的錢包地址情況如下：

MistTrack 反洗錢追蹤系統分析發現，攻擊者地址 (0x4b7...c5a) 給攻擊者地址 (0x3a1...031) 提供了初始資金，而攻擊者地址 (0x4b7...c5a) 的初始資金來自于混幣平臺 Tornado Cash 轉出的 10 ETH。

在攻擊成功后，相關地址都把攻擊獲得的幣轉到地址 (0xace...70e)。

THORChain發布分布式簽名協議THORChainTSS白皮書:去中心化交易協議THORChain發布THORNode的子服務分布式簽名功能THORChainTSS白皮書以及相關基準文件。根據該白皮書顯示，THORChainTSS是一種實用的分布式閾值簽名協議，該協議基于Genarro-Goldfeder在2018年提出的方案，允許多個參與方共同協作以生成可用于驗證給定簽名正確性的公鑰。同時，THORChain表示該協議是一種具有魯棒性的協議，允許當事方的閾值參與簽名生成，從而避免單點故障的問題。（Medium）[2020/7/10]

該獲利地址 (0xace...70e) 只有一筆轉出記錄：通過 Tornado Cash 轉出 10 ETH。

2246.6 SUSHI13318.35 DODO110108 KYL243.929 USDT259237.77 HEGIC

本次攻擊跟第二次攻擊一樣，攻擊者部署了一個攻擊合約，作為自己的 router，在攻擊合約里調用 THORChain Router 合約。但不同的是，攻擊者這次利用的是 THORChain Router 合約中關于退款的邏輯缺陷，攻擊者調用 returnVaultAssets 函數并發送很少的 ETH，同時把攻擊合約設置為 asgard。然后 THORChain Router 合約把 ETH 發送到 asgard 時，asgard 也就是攻擊合約觸發一個 deposit 事件，攻擊者隨意構造 asset 和 amount，同時構造一個不符合要求的 memo，使 THORChain 節點程序無法處理，然后按照程序設計就會進入到退款邏輯。

(截圖來自 viewblock.io)

有趣的是，推特網友把這次攻擊交易中的 memo 整理出來發現，攻擊者竟喊話 THORChain 官方，表示其發現了多個嚴重漏洞，可以盜取 ETH/BTC/LYC/BNB/BEP20 等資產。

(圖片來自 https://twitter.com/defixbt/status/1418338501255335937)

根據 THORChain 官方發布的復盤文章，此次攻擊造成的損失為：

966.62 ALCX20,866,664.53 XRUNE1,672,794.010 USDC56,104 SUSHI6.91 YEARN990,137.46 USDT

MistTrack 反洗錢追蹤系統分析發現，攻擊者地址 (0x8c1...d62) 的初始資金來源是另一個攻擊者地址 (0xf6c...747)，而該地址 (0xf6c...747) 的資金來源只有一筆記錄，那就是來自于 Tornado Cash 轉入的 100 ETH，而且時間居然是 2020 年 12 月！

在攻擊成功后，攻擊者將資金轉到了獲利地址 (0x651...da1)。

通過以上分析可以發現，三次攻擊的初始資金均來自匿名平臺 (ChangeNOW、Tornado Cash)，說明攻擊者有一定的 “反偵察” 意識，而且第三次攻擊的交易都是隱私交易，進一步增強了攻擊者的匿名性。

從三次攻擊涉及的錢包地址來看，沒有出現重合的情況，無法認定是否是同一個攻擊者。從資金規模上來看，從第一次攻擊到第三次攻擊，THORChain 被盜的資金量越來越大，從 14 萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現，而且攻擊間隔時間比較短，慢霧 AML 團隊綜合各項線索，推理認為有一定的可能性是同一人所為。

截止目前，三次攻擊后，攻擊者資金留存地址共有余額近 1300 萬美元。三次攻擊事件后，THORChain 損失資金超 1600 萬美元！

(被盜代幣價格按文章發布時價格計算)

依托慢霧 BTI 系統和 AML 系統中近兩億地址標簽，慢霧 MistTrack 反洗錢追蹤系統全面覆蓋了全球主流交易所，累計服務 50+ 客戶，累計追回資產超 2 億美金。(詳見：慢霧 AML 升級上線，為資產追蹤再增力量)。針對 THORChain 攻擊事件， 慢霧 AML 團隊將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

跨鏈系統的安全性不容忽視，慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性，充分進行 “假充值” 測試，必要時可聯系專業安全公司進行安全審計。

Tags：CHAAINChainTHORNew XChain TokenChainXCold Chainthor幣在哪個交易所

中幣下載