加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

THORChain連遭三擊 黑客會是同一個嗎?_CHA:ChainX

Author:

Time:1900/1/1 0:00:00

據慢霧AML團隊分析統計,THORChain?三次攻擊真實損失如下:

2021年6月29日,THORChain遭“假充值”攻擊,損失近35萬美元;

2021年7月16日,THORChain二次遭“假充值”攻擊,損失近800萬美元;

2021年7月23日,THORChain再三遭攻擊,損失近800萬美元。

這不禁讓人有了思考:三次攻擊的時間如此相近、攻擊手法如此相似,背后作案的人會是同一個嗎?

慢霧AML?團隊利用旗下?MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析,為大家還原整個事件的來龍去脈,對資金的流向一探究竟。

第一次攻擊:“假充值”漏洞

攻擊概述

本次攻擊的發生是由于THORChain代碼上的邏輯漏洞,即當跨鏈充值的ERC20代幣符號為ETH時,漏洞會導致充值的代幣被識別為真正的以太幣ETH,進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析,詳見:假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。

根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:

9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH

THORChain稱遭受攻擊損失4000枚ETH,將在數周內補償受損用戶:去中心化跨鏈交易協議THORChain(RUNE)在電報群稱該協議遭受攻擊,損失約4000枚ETH,價值約765萬美元。在開發人員調查漏洞的嚴重程度以及如何修復漏洞期間,該網絡已經停止運行。更詳細的評估和修復步驟將很快公布,受損用戶將在未來幾周內得到補償。THORChain團隊稱,treasury擁有足夠資金來償付被盜資金,但正在尋求攻擊者與團隊聯系,討論返還資金以獲得相應的漏洞賞金[2021/7/16 0:56:24]

資金流向分析

根據官方提供的黑客地址,慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下:

經?MistTrack反洗錢追蹤系統分析發現,攻擊者在6月21號開始籌備,使用匿名兌換平臺ChangeNOW?獲得初始資金,然后在5天后(6月26號)部署攻擊合約。

在攻擊成功后,多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash?以便躲避追蹤,未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。

前紐交所總裁Thomas Farley:比特幣市值可以達到10萬億美元:前紐交所總裁Thomas Farley在CNBC節目中表示,比特幣可以成為一個10萬億美元市場。因為比特幣是一種新資產類別,它的價格會上下波動,但是長期來看,會回歸正確的趨勢。比特幣從本質上來講能實現能源高效。[2021/6/27 0:09:20]

慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:

29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI

第二次攻擊:取值錯誤導致的“假充值”漏洞

攻擊概述

根據分析發現,攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法,傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易,設置交易的value(msg.value)不為0,由于THORChain代碼上的缺陷,在獲取用戶充值金額時,使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值,導致了“空手套白狼”的結果。

聲音 | Elise Thomas:加密貨幣被用于洗錢和犯罪行為,給監管機構帶來巨大挑戰:據SMH消息,網絡貨幣已被暗網販、恐怖組織和黑客用于支付。但加密貨幣可能會走向更主流。如果出現這種情況,可能會讓西方民主國家更難抵御跨國犯罪、腐敗和恐怖融資。澳大利亞戰略政策研究所研究員Elise Thomas表示,有組織犯罪有著成熟的洗錢方式,但他們像其他企業一樣正在試驗加密貨幣。我認為我們將看到新洗錢方式,結合傳統金融和加密貨幣,這將對監管機構構成巨大挑戰,因為他們需要同時了解這兩種情況的專家團隊。 根據劍橋大學的一項研究,全球大約有1.4億加密貨幣用戶賬戶注冊。驗證用戶在2017年翻了兩番,2018年前三個季度又翻倍,達到3500萬。[2019/8/19]

根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:

2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE

動態 | 以太坊2.0客戶端Lighthouse的首個版本暫定于 7 月 15 日發布:以太坊 2.0 開發團隊Sigma Prime宣布,暫定于7月15 日發布以太坊 2.0 客戶端 Lighthouse的第一個版本,該版本主要針對研究人員和開發者。Lighthouse是一個用編程語言Rust 開發的以太坊2.0客戶端。[2019/7/7]

資金流向分析

慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:

MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金,而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。

在攻擊成功后,相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。

動態 | Block.One CEO Brendan Blumer將參加倫敦EOS Hackathon:據 IMEOS 報道,EOS官方推特于昨天發推,宣布CTO Dan Larimer(BM)將以導師和裁判身份參加于9月份舉辦的倫敦EOS Hackathon之后,今天再發推披露Block.One的CEO Brendan Blumer(BB)也將參加此次活動。[2018/8/9]

該獲利地址(0xace...70e)只有一筆轉出記錄:通過TornadoCash轉出10ETH。

慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:

2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC

第三次攻擊:退款邏輯漏洞

攻擊概述

本次攻擊跟第二次攻擊一樣,攻擊者部署了一個攻擊合約,作為自己的router,在攻擊合約里調用THORChainRouter合約。但不同的是,攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷,攻擊者調用returnVaultAssets函數并發送很少的ETH,同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時,asgard也就是攻擊合約觸發一個deposit事件,攻擊者隨意構造asset和amount,同時構造一個不符合要求的memo,使THORChain節點程序無法處理,然后按照程序設計就會進入到退款邏輯。

(截圖來自viewblock.io)

有趣的是,推特網友把這次攻擊交易中的memo整理出來發現,攻擊者竟喊話THORChain官方,表示其發現了多個嚴重漏洞,可以盜取ETH/BTC/LYC/BNB/BEP20等資產。

(圖片來自https://twitter.com/defixbt/status/1418338501255335937)

根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:

966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT

資金流向分析

慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:

MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747),而該地址(0xf6c...747)的資金來源只有一筆記錄,那就是來自于TornadoCash轉入的100ETH,而且時間居然是2020年12月!

在攻擊成功后,攻擊者將資金轉到了獲利地址(0x651...da1)。

總結

通過以上分析可以發現,三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash),說明攻擊者有一定的“反偵察”意識,而且第三次攻擊的交易都是隱私交易,進一步增強了攻擊者的匿名性。

從三次攻擊涉及的錢包地址來看,沒有出現重合的情況,無法認定是否是同一個攻擊者。從資金規模上來看,從第一次攻擊到第三次攻擊,THORChain被盜的資金量越來越大,從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現,而且攻擊間隔時間比較短,慢霧AML團隊綜合各項線索,推理認為有一定的可能性是同一人所為。

截止目前,三次攻擊后,攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后,THORChain損失資金超1600萬美元!

(被盜代幣價格按文章發布時價格計算)

依托慢霧BTI系統和AML系統中近兩億地址標簽,慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所,累計服務50+客戶,累計追回資產超2億美金。(詳見:慢霧AML升級上線,為資產追蹤再增力量)。針對THORChain攻擊事件,?慢霧AML團隊將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。

跨鏈系統的安全性不容忽視,慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,必要時可聯系專業安全公司進行安全審計。

Tags:CHATHORHORAINChainXhathor幣錢包HORUS價格AINU

狗狗幣價格
對話大島巖:NFT是一種所有權象征 有?NFT?意味著擁有了基礎資產所有權主張_NFT:國家為什么要打擊元宇宙概念

7月22日14:00,N.FansCMO大島巖做客金色微訪談第31期直播間,本次直播由金色財經花花主持,主題為“NFT+元宇宙,一時熱點還是發展必然?”.

1900/1/1 0:00:00
金色觀察|Eth1.0是否已死于倫敦升級?_ETH:gas幣怎么樣

隨著EIP1559的啟用,Eth1.0鏈的命運也因此決定了。8月5日,以太坊進行了倫敦升級,隨著升級部署成功,EIP-1559在內的5個EIP開始啟用.

1900/1/1 0:00:00
移動支付巨頭Square從比特幣中掘金_比特幣:Chainsquare

和特斯拉一樣,比特幣在第二季度也為移動支付巨頭Square帶去了減值損失。8月2日,Square公布的Q2財報顯示,其持有的比特幣出現了4500萬美元的減值損失,該公司將此歸因于加密資產市場在5.

1900/1/1 0:00:00
晚間必讀5篇 | “迷途知返”的黑客與區塊鏈安全隱憂_以太坊:PieDAO DEFI

1.金色前哨|比特幣閃電網絡總容量突破1億美元8月11日,據Bitcoinvisuals數據顯示,比特幣閃電網絡總容量已突破2,220.56BTC,按其價格估算,美元價值超過1億美元.

1900/1/1 0:00:00
巴西推出首只生態友好型比特幣 ETF_ETF:加密貨幣

巴西推出了第一個綠色比特幣ETF——BITH11,現在股票市場上有4個與加密相關的ETF。巴西在創造與加密貨幣相關的新投資機會方面繼續取得進展.

1900/1/1 0:00:00
金色觀察丨為什么不能“簡單”復制粘貼NFT?_PUN:Punk Panda Messenger

金色財經區塊鏈8月10日訊??眾所周知,當我們購買一件實體藝術品時,得到的是一個實物,我們可以將購買到的名畫放在墻上并欣賞這個實體,并且所有者有權允許其他人展示畫作副本.

1900/1/1 0:00:00
ads