據慢霧AML團隊分析統計,THORChain三次攻擊真實損失如下:
2021年6月29日,THORChain遭“假充值”攻擊,損失近35萬美元;
2021年7月16日,THORChain二次遭“假充值”攻擊,損失近800萬美元;
2021年7月23日,THORChain再三遭攻擊,損失近800萬美元。
這不禁讓人有了思考:三次攻擊的時間如此相近、攻擊手法如此相似,背后作案的人會是同一個嗎?
慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析,為大家還原整個事件的來龍去脈,對資金的流向一探究竟。
第一次攻擊:“假充值”漏洞
攻擊概述
本次攻擊的發生是由于THORChain代碼上的邏輯漏洞,即當跨鏈充值的ERC20代幣符號為ETH時,漏洞會導致充值的代幣被識別為真正的以太幣ETH,進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析,詳見:假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
9352.4874282PERP
1.43974743YFI
2437.936SUSHI
10.615ETH
奧斯卡獎得主Anthony Hopkins推出“Eternal Collection”系列NFT:金色財經消息,奧斯卡最佳男主角獎得主Anthony Hopkins與Web3創意工作室初創公司Orange Comet合作,創作并推出了他的第一個NFT系列“Eternal Collection”。
Hopkins稱,元宇宙“提供了一個令人難以置信的機會,以一種完全不同的方式與觀眾建立聯系。我可能是NFT社區和社交媒體上最年長的人,這證明在任何年齡一切皆有可能。”
據悉,Eternal Collection系列NFT包含Hopkins的電影生涯中描塑造的10種不同角色原型,包括包括《沉默的羔羊》中的Hannibal Lecter和和漫威《雷神》系列中的Odin。(Variety)[2022/8/20 12:37:38]
資金流向分析
根據官方提供的黑客地址,慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下:
經MistTrack反洗錢追蹤系統分析發現,攻擊者在6月21號開始籌備,使用匿名兌換平臺ChangeNOW獲得初始資金,然后在5天后(6月26號)部署攻擊合約。
在攻擊成功后,多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash以便躲避追蹤,未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
THORChain發布2022年第一季度財報,財政收入超2億美元:4月1日消息,THORChain發布2022年第一季度財報,2022年第一季度THORChain財政收入為2.17億美元,且所有負債已全部償還或擔保。目前協議擁有1.73億枚RUNE(約21億美元)的儲備,計劃于2022年7月全部投入使用,其中1.13億枚RUNE已部署至網絡,剩余的6000萬枚RUNE將用于向協議準備金等供款。(Medium)[2022/4/1 14:31:28]
29777.378146USDT
78.14165727ALCX
11.75154045ETH
0.59654637YFI
第二次攻擊:取值錯誤導致的“假充值”漏洞
攻擊概述
根據分析發現,攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法,傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易,設置交易的value(msg.value)不為0,由于THORChain代碼上的缺陷,在獲取用戶充值金額時,使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值,導致了“空手套白狼”的結果。
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
2500ETH
57975.33SUSHI
Marathon Digital宣布購買3萬臺螞蟻礦機,總金額超1.2億美元:比特幣礦業公司Marathon Digital 宣布購買30,000臺比特大陸S19j Pro螞蟻礦機,總金額1.207億美元。預計當礦機部署完成,Marathon Digital算力將提升至13.3EH/s。[2021/8/2 1:29:34]
8.7365YFI
171912.96DODO
514.519ALCX
1167216.739KYL
13.30AAVE
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金,而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。
在攻擊成功后,相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。
該獲利地址(0xace...70e)只有一筆轉出記錄:通過TornadoCash轉出10ETH。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
2246.6SUSHI
13318.35DODO
動態 | EOS Authority測試公投系統:據引力觀察報道,EOS節點EOS Authority開發了一個公投系統,現在處于測試階段。該公投系統支持英語,韓語和中文。支持Scatter和Lynx錢包。不需要被審查。提供與公投相關的數據和表格。支持搜查,篩選和創建提案。[2018/11/17]
110108KYL
243.929USDT
259237.77HEGIC
第三次攻擊:退款邏輯漏洞
攻擊概述
本次攻擊跟第二次攻擊一樣,攻擊者部署了一個攻擊合約,作為自己的router,在攻擊合約里調用THORChainRouter合約。
但不同的是,攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷,攻擊者調用returnVaultAssets函數并發送很少的ETH,同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時,asgard也就是攻擊合約觸發一個deposit事件,攻擊者隨意構造asset和amount,同時構造一個不符合要求的memo,使THORChain節點程序無法處理,然后按照程序設計就會進入到退款邏輯。
(截圖來自viewblock.io)
有趣的是,推特網友把這次攻擊交易中的memo整理出來發現,攻擊者竟喊話THORChain官方,表示其發現了多個嚴重漏洞,可以盜取ETH/BTC/LYC/BNB/BEP20等資產。
央行行長易綱會見瑞士財長Ueli Maurer和瑞士央行行長Thomas Jordan 雙方就加密貨幣等議題交換了意見:2018年4月19日,中國人民銀行行長易綱在美國華盛頓出席國際貨幣基金組織/世界銀行春季例會系列會議期間,會見了瑞士財長Ueli Maurer和瑞士央行行長Thomas Jordan,就加強雙邊金融合作、加密貨幣等議題交換了意見。[2018/4/20]
(圖片來自https://twitter.com/defixbt/status/1418338501255335937)
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
966.62ALCX
20,866,664.53XRUNE
1,672,794.010USDC
56,104SUSHI
6.91YEARN
990,137.46USDT
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747),而該地址(0xf6c...747)的資金來源只有一筆記錄,那就是來自于TornadoCash轉入的100ETH,而且時間居然是2020年12月!
在攻擊成功后,攻擊者將資金轉到了獲利地址(0x651...da1)。
總結
通過以上分析可以發現,三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash),說明攻擊者有一定的“反偵察”意識,而且第三次攻擊的交易都是隱私交易,進一步增強了攻擊者的匿名性。
從三次攻擊涉及的錢包地址來看,沒有出現重合的情況,無法認定是否是同一個攻擊者。從資金規模上來看,從第一次攻擊到第三次攻擊,THORChain被盜的資金量越來越大,從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現,而且攻擊間隔時間比較短,慢霧AML團隊綜合各項線索,推理認為有一定的可能性是同一人所為。
截止目前,三次攻擊后,攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后,THORChain損失資金超1600萬美元!
(被盜代幣價格按文章發布時價格計算)
依托慢霧BTI系統和AML系統中近兩億地址標簽,慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所,累計服務50客戶,累計追回資產超2億美金。(詳見:慢霧AML升級上線,為資產追蹤再增力量)。針對THORChain攻擊事件,慢霧AML團隊將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
跨鏈系統的安全性不容忽視,慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,必要時可聯系專業安全公司進行安全審計。
參考資料
****
THORChain官方復盤文章:
https://medium.com/thorchain/eth-parsing-error-and-exploit-3b343aa6466f
https://thearchitect.notion.site/THORChain-Incident-07-15-7d205f91924e44a5b6499b6df5f6c210
https://thearchitect.notion.site/THORChain-Incident-07-22-874a06db7bf8466caf240e1823697e35__
往期回顧
科普|加密貨幣詐騙,你中招了嗎?(下)
慢霧招募令,加入未來的安全獨角獸
梅開二度——PancakeBunny被黑分析
科普|加密貨幣詐騙,你中招了嗎?(上)
假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/10216164.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
小馮:以太坊再戰1700有望企穩黃金注意日線反彈信號
沈迎月:7.29早評比特幣抬頭望天繼續多,以太坊不甘落后依然漲??渺小的量變可積累驚人的質變,平凡的腳步可以丈量遙遠的旅途。我們常常驚艷別人的功績,卻無心審視自己生命的亮色.
1900/1/1 0:00:00尊敬的XT用戶: XT即將上線IVG,并在創新區開放IVG/USDT交易對。具體開通時間,請關注后續公告。通過保護鳥類來保護人類。瀕危鳥類:它們的未來預示著你的未來.
1900/1/1 0:00:00尊敬的歐易OKEx用戶:歐易OKEx上線YieldGuildGames(YGG),具體時間如下:1.YGG充值:7月28日22:00(HKT)2.YGG/USDT的市場交易:7月28日22:30.
1900/1/1 0:00:00尊敬的用戶:?????????????BKEXGlobal即將上線REDFEG,詳情如下:上線交易對:REDFEG/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:20.
1900/1/1 0:00:00尊敬的用戶: 幣虎將上線PolyPlay,并在創新區開通PLAY/USDT交易市場,具體詳情如下:1.開放充幣:2021年7月29日14:00;2.開放交易:2021年7月29日18:00;數據.
1900/1/1 0:00:007月28日消息,安全公司Rugdoc表示,收益耕作協議PolyYeldFinance遭到攻擊,項目合約被利用鑄造了4.9萬億個YELD代幣,并在二級市場進行傾銷.
1900/1/1 0:00:00