據慢霧AML團隊分析統計,THORChain?三次攻擊真實損失如下:
2021年6月29日,THORChain遭“假充值”攻擊,損失近35萬美元;
2021年7月16日,THORChain二次遭“假充值”攻擊,損失近800萬美元;
2021年7月23日,THORChain再三遭攻擊,損失近800萬美元。
這不禁讓人有了思考:三次攻擊的時間如此相近、攻擊手法如此相似,背后作案的人會是同一個嗎?
慢霧AML?團隊利用旗下?MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析,為大家還原整個事件的來龍去脈,對資金的流向一探究竟。
第一次攻擊:“假充值”漏洞
攻擊概述
本次攻擊的發生是由于THORChain代碼上的邏輯漏洞,即當跨鏈充值的ERC20代幣符號為ETH時,漏洞會導致充值的代幣被識別為真正的以太幣ETH,進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析,詳見:假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH
Beosin:Thoreum Finance項目被黑客攻擊,被盜資金約58萬美元:金色財經報道,據Beosin EagleEye 安全預警與監控平臺檢測顯示,Thoreum Finance項目被黑客攻擊,涉及金額約為58萬美元。由于ThoreumFinance項目方創建的未開源合約0x79fe的transfer函數疑似存在漏洞,當transfer函數的from和to地址相同時,由于使用臨時變量存儲余額,導致給自己轉賬時,余額會成倍增加,攻擊者重復操作多次,最終獲利2000BNB。
Beosin安全團隊通過Beosin Trace進行追蹤,發現被盜資金已全部轉入tornado cash。[2023/1/19 11:21:19]
資金流向分析
根據官方提供的黑客地址,慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下:
經?MistTrack反洗錢追蹤系統分析發現,攻擊者在6月21號開始籌備,使用匿名兌換平臺ChangeNOW?獲得初始資金,然后在5天后(6月26號)部署攻擊合約。
比特幣礦企Marathon預計從Compute North收回2200萬美元押金:金色財經報道,Marathon Digital (MARA)是規模最大的公開交易的比特幣礦商之一,預計只能收回存放在已經破產的比特幣礦工和數據中心供應商Compute North的5000萬美元中的2200萬美元。
除了5,000萬美元的存款,Marathon Digital 此前表示,它在Compute North公司的不同實體中投資了1,000萬美元的可轉換優先股和2,130萬美元的無擔保高級承兌匯票。(Coindesk)[2022/12/7 21:27:45]
在攻擊成功后,多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash?以便躲避追蹤,未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI
第二次攻擊:取值錯誤導致的“假充值”漏洞
FASTHORSE區塊鏈3D賽馬手游發布會正式召開:11月22日,FASTGAME旗下首款區塊鏈模擬經營類3D賽馬手游FASTHORSE上線發布會正式召開—“破界而生,夢想啟航”。此次啟動儀式發布上線了FASTHORSE游戲和FASTEX交易所,并宣布第二款游戲FASTDEGEON已在籌備中。目前FASTHORSE官網現已開放下載通道。[2020/11/22 21:41:23]
攻擊概述
根據分析發現,攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法,傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易,設置交易的value(msg.value)不為0,由于THORChain代碼上的缺陷,在獲取用戶充值金額時,使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值,導致了“空手套白狼”的結果。
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
動態 | Equilibrium和EOS Authority實現REX抵押功能:據IMEOS消息, Equilibrium(EOSDT)與EOS Authority合作,將其EOS抵押品投入REX中,并且將REX的收益分配給Equilibrium的用戶。目前Equilibrium正在積極開發NUT持有者的鏈式投票功能,當其完成時,NUT持有者將能夠定期選擇用于REX投票的BP列表。[2019/7/6]
2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金,而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。
華爾街分析師Thomas Lee:比特幣目前價格本質上講是挖礦成本的的盈虧平衡點 今年比特幣價格的痛苦還未結束:據彭博社,華爾街分析師兼Fundstrat Global Advisors聯合創始人托馬斯-李(Thomas Lee)在今天的一份報告中表示,比特幣目前的交易價格從本質上講是比特幣挖礦成本的的盈虧平衡點。他們的研究結果基于其數據科學團隊開發的加密貨幣挖掘模型,該模型的三個因素包括設備成本,電力和其他開銷,如維護冷卻設施。根據模型,盈虧平衡點大約在8038美元。 Lee還表示,比特幣今年的痛苦開局還沒結束,在價格回升之前會經歷更多的痛苦。比特幣價格較去年12月近2萬美元高點已經下跌了60%以上,而且只有在價格接近5873美元時才會顯示底部跡象。據報道,Blockchain Intelligence Group的聯合創始人兼總裁Shone Anstey也表示,在某些情況下,比特幣礦工可能會關閉機器,直到價格回升一點。[2018/3/16]
在攻擊成功后,相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。
該獲利地址(0xace...70e)只有一筆轉出記錄:通過TornadoCash轉出10ETH。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC
第三次攻擊:退款邏輯漏洞
攻擊概述
本次攻擊跟第二次攻擊一樣,攻擊者部署了一個攻擊合約,作為自己的router,在攻擊合約里調用THORChainRouter合約。但不同的是,攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷,攻擊者調用returnVaultAssets函數并發送很少的ETH,同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時,asgard也就是攻擊合約觸發一個deposit事件,攻擊者隨意構造asset和amount,同時構造一個不符合要求的memo,使THORChain節點程序無法處理,然后按照程序設計就會進入到退款邏輯。
(截圖來自viewblock.io)
有趣的是,推特網友把這次攻擊交易中的memo整理出來發現,攻擊者竟喊話THORChain官方,表示其發現了多個嚴重漏洞,可以盜取ETH/BTC/LYC/BNB/BEP20等資產。
(圖片來自https://twitter.com/defixbt/status/1418338501255335937)
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747),而該地址(0xf6c...747)的資金來源只有一筆記錄,那就是來自于TornadoCash轉入的100ETH,而且時間居然是2020年12月!
在攻擊成功后,攻擊者將資金轉到了獲利地址(0x651...da1)。
總結
通過以上分析可以發現,三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash),說明攻擊者有一定的“反偵察”意識,而且第三次攻擊的交易都是隱私交易,進一步增強了攻擊者的匿名性。
從三次攻擊涉及的錢包地址來看,沒有出現重合的情況,無法認定是否是同一個攻擊者。從資金規模上來看,從第一次攻擊到第三次攻擊,THORChain被盜的資金量越來越大,從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現,而且攻擊間隔時間比較短,慢霧AML團隊綜合各項線索,推理認為有一定的可能性是同一人所為。
截止目前,三次攻擊后,攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后,THORChain損失資金超1600萬美元!
(被盜代幣價格按文章發布時價格計算)
依托慢霧BTI系統和AML系統中近兩億地址標簽,慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所,累計服務50+客戶,累計追回資產超2億美金。(詳見:慢霧AML升級上線,為資產追蹤再增力量)。針對THORChain攻擊事件,?慢霧AML團隊將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
跨鏈系統的安全性不容忽視,慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,必要時可聯系專業安全公司進行安全審計。
08-09-2021 周報摘要: 1、?BTC和ETH交易所儲備余額繼續下行,提幣趨勢仍在延續,買盤不斷增加的需求是促進幣價上行的主要動力.
1900/1/1 0:00:00截至8月8日,今年全球已有30筆區塊鏈項目融資規模過億美元。2021年以來,NFT行業取得了前所未有的發展,NFT成為繼DeFi之后第二個「明星賽道」,受到資本方青睞.
1900/1/1 0:00:00AMC娛樂公司首席執行官AdamAron在周一的季度財報電話會議上表示,該公司正在建立一種IT的方式支持比特幣的支付.
1900/1/1 0:00:00附特斯拉與MicroStrategy加密業績對比。北京時間今天凌晨,美股科技公司MicroStrategy發布2021年第二季度財務業績報告.
1900/1/1 0:00:00在一段時間里,“元宇宙”只停留在概念階段。今年3月,Roblox在紐交所上市,不僅成為市值超400億美元的“新貴”,還帶火了“元宇宙”,被稱為“元宇宙第一股”.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00