被黑 6.1 億美金的 Poly Network 事件分析與疑難問答_AIN

慢霧認為，攻擊主要在于EthCrossChainData合約的keeper被修改，而非私鑰泄漏導致。目前，黑客已開始陸續歸還資金。

撰文：慢霧安全團隊

2021年08月10日，據慢霧區消息，跨鏈互操作協議PolyNetwork遭受黑客攻擊，慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

攻擊背景

PolyNetwork是由Neo、Ontology、Switcheo基金會共同作為創始成員，分布科技作為技術提供方共同發起的跨鏈組織。

如下圖，通過官方的介紹我們可以清楚的看出PolyNetwork的架構設計：用戶可以在源鏈上發起跨鏈交易，交易確認后由源鏈Relayer將區塊頭信息同步至PolyChain，之后由PolyChain將區塊頭信息同步至目標鏈Relayer，目標鏈Relayer將驗證信息轉至目標鏈上，隨后在目標鏈進行區塊頭驗證，并執行用戶預期的交易。

以下是本次攻擊涉及的具體地址：

攻擊核心

源鏈未對發起的跨鏈操作的數據進行檢查。目標鏈未對解析出的目標調用合約以及調用參數進行檢查。EthCrossChainData合約的owner為EthCrossChainManager。bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))可以被hash碰撞。攻擊細節

PolyNetwork會在各個鏈上部署智能合約以便進行跨鏈互操作，其中EthCrossChainManager合約用于驗證PolyChain同步來的區塊頭以確認跨鏈信息的真實。EthCrossChainData合約用于存儲跨鏈數據，中繼鏈驗證人(即Keeper)的公鑰也存儲在這個合約中。LockProxy則用于資產管理。

Quantsamp創始人：此次知名推特被黑來自內部安全漏洞:今日早前消息，拜登、奧巴馬、埃隆馬斯克及比爾蓋茨等著名人士和Uber、Apple等公司推特賬戶被黑客襲擊，發布了涉及數字貨幣騙局內容，推文內容均要求關注者提供比特幣。對此，Quantsamp創始人Richard Ma表示，他的團隊認為問題出在Twitter的舊金山總部。他稱，“根據我們到目前為止收集到的信息，這是內部Twitter安全漏洞。黑客能夠破壞Twitter并獲得對內部管理員功能的訪問權。這是一個'愚蠢'的黑客行為，但入侵的動機也很重要，這可能是一場旨在使Twitter顯得愚蠢的運動，并讓它看起來在公眾話語中的角色準備不足。”（Coindesk）[2020/7/16]

本次攻擊中，攻擊者分兩步來完成這次攻擊，我們接下來進行詳細分析：

首先攻擊者通過在其他鏈調用crossChain函數構造數據發起跨鏈交易。

我們切入此函數進行分析:

EthCrossChainManager.crossChain

從上圖我們可以清晰的看出，此函數只是用于幫助用戶構造makeTxParam并存儲了構造后的哈希以便后續驗證，其并未對用戶傳入的跨鏈操作參數進行任何限制，因此攻擊者完全可以通過構造任意想構造的數據而讓Relayer毫無防備的將其同步至PolyChain，通過PolyChain將其同步至以太坊Relayer。

隨后在以太坊上的Relayer通過調用EthCrossChainManager合約中

的verifyHeaderAndExecuteTx函數提交區塊頭信息來驗證這筆跨鏈信息的真實性。

動態 | 報告：Upbit被盜以太坊已有20,520枚被黑客完成洗錢:1月17日消息，Uppala Security發布的最新報告顯示，加密貨幣交易所Upbit被盜的以太坊中，總計20,520枚已經被黑客小額轉移到交易所進行了洗錢。黑客洗錢的交易平臺包括火幣、Bittrex、Bitfinex等交易所。報告還稱，黑客們仍在試圖洗清被偷走的34.2萬枚ETH的剩余部分，且沒有任何限制。（Crypto Globe ）[2020/1/17]

我們切入此函數進行分析：

EthCrossChainManager.verifyHeaderAndExecuteTx

通過上圖代碼我們可以看出其先對區塊頭進行反序列化，以解出所需要驗證的具體信息。隨后調用getCurEpochConPubKeyBytes函數從EthCrossChainData合約中獲取Keeper公鑰，并通過deserializeKeepers函數得到Keeper地址。

接下來將通過ECCUtils.verifySig驗證簽名是否為Keeper，從以下代碼中我們可以發現verifySig函數中會切出簽名者的vrs，并通過ecrecover接口獲取簽名者地址，然后調用containMAddresses函數循環比較簽名者是否為Keeper，只要Keeper簽名數量符合要求即可通過檢查，數量要求即為EthCrossChainManager合約傳入的n-(n-1)/3)。

簽名驗證后會通過ECCUtils.merkleProve進行默克爾根驗證，只要是正常跨鏈操作即可通過此項檢查。隨后會對交易是否重復發送進行檢查并存儲已驗證后的數據。這里只需保證不重復提交即可。

動態 | Fortnite的游戲幣V-Bucks正在被黑客用來洗錢:據研究人員稱，黑客在Fortnite平臺上使用其平臺的數字貨幣V-Bucks進行盜刷信用卡。通過將V-Bucks以折扣價轉售給玩家進行洗錢。

Sixgill高級情報分析師本杰明·普雷明格(Benjamin Preminger)表示：罪犯在Fortnite系統中盜刷銀行卡不會受到任何懲罰，目前還不清楚這些騙子從這些行動中賺了多少錢。

據悉，V-Bucks是Fortnite的游戲內資金，與加密貨幣類似，以數字形式存在。[2019/1/21]

最后，也是最關鍵的一步，其將通過內部調用_executeCrossChainTx函數執行構造的數據。

從上圖我們可以看出_executeCrossChainTx函數未對傳入的_toContract、_method等參數進行檢查就直接以_toContract.call的方式執行交易。

其中通過鏈上數據我們可以看出EthCrossChainData合約的owner即為EthCrossChainManager合約，而先前我們知道中繼鏈驗證人(即Keeper)的公鑰存在EthCrossChainData合約中，且此合約存在putCurEpochConPubKeyBytes函數可以直接修改Keeper公鑰。

經過以上分析，結果已經很明確了，攻擊者只需在其他鏈通過crossChain正常發起跨鏈操作的交易，此交易目的是為了調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以修改Keeper角色。隨后通過正常的跨鏈流程，Keeper會解析用戶請求的目標合約以及調用參數，構造出一個新的交易提交到以太坊上。這本質上也只是一筆正常的跨鏈操作，因此可以直接通過Keeper檢查與默克爾根檢查。最后成功執行修改Keeper的操作。

動態 | EOSCast遭遇黑客攻擊 7萬多EOS被黑客轉走:據媒體報道，今日凌晨EOSCast游戲遭遇黑客攻擊，7萬多EOS被黑客轉走。區塊鏈安全公司PeckShield隨即對相關賬號鏈上數據展開深入分析發現，今晨00:15起，黑客“refundwallet”嘗試對EOSCast游戲合約“eoscastdmgb1”實施攻擊，黑客先以“假EOS”攻擊方式進行轉賬攻擊8次，未能得逞，后又采用“假EOS轉賬變種”的方式成功攻擊9次。根據游戲規則，黑客分別以100、1,000、10,000個假EOS展開攻擊，每次攻擊可得到198、9,800、19,600個不等的EOS，在實施最后一次攻擊時，游戲方察覺到異常攻擊，及時轉走了獎金池僅剩的8,000個EOS。最終，黑客共計獲利72,912個EOS，根據EOS當前行情35元估算，EOSCast平臺損失超255萬元。受此影響，EOSCast游戲已緊急下線，據了解，該游戲上線僅10個小時。[2018/10/31]

但我們注意到putCurEpochConPubKeyBytes函數定義為

functionputCurEpochConPubKeyBytes(bytescalldatacurEpochPkBytes)externalreturns(bool);

而_executeCrossChainTx函數執行的定義為

abi.encodePacked(bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))

動態 | 區塊鏈游戲Last Winner被黑客攻擊 1200W人民幣被盜:區塊鏈游戲Last Winner風靡以太坊網絡，然而Last Winner則被黑客利用，AnChain.ai通過態勢感知發現了一個攻擊合約正在不斷從Last Winner中攫取ETH！根據AnChain.ai提供的數據，這個由黑客創造出來的攻擊合約發起了將近5W筆交易，僅花費4天時間，就累計獲利5194ETH，價值將近1200W人民幣。[2018/8/17]

我們可以知道這兩個函數的函數簽名在正常情況下傳入的_method為putCurEpochConPubKeyBytes肯定是完全不同的，因此通過_toContract.call理論上是無法調用到putCurEpochConPubKeyBytes函數的。但_method是攻擊者可以控制的，其完全可以通過枚舉各個字符組合以獲得與調用putCurEpochConPubKeyBytes函數相同的函數簽名，這要求其只需枚舉前4個字節符合即可。我們也可以自己嘗試枚舉驗證，如下所示：

可以看出前四個字節與putCurEpochConPubKeyBytes函數是一致的

至此我們就已還原出攻擊者的攻擊細節。

通過解析鏈上數據，我們可以發現攻擊者將Keeper替換為了0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B。

最后攻擊者只需使用替換后的Keeper地址進行簽名即可通過所有檢查執行調用LockProxy合約將其管理的資產轉出。

攻擊流程

攻擊者在源鏈精心構造一筆修改目標鏈Keeper的操作。

利用官方Relayer正常在目標鏈提交數據并執行替換Keeper操作。

攻擊者通過替換后的Keeper地址對其轉出資產的操作進行簽名提交至EthCrossChainManager進行驗證。

驗證Keeper為攻擊者已替換完的地址通過檢查，執行將資產轉移至攻擊者指定地址。

獲利走人。

MistTrack分析過程

慢霧AML團隊分析統計，本次攻擊損失共計超6.1億美元！

具體如下：

資金流向分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現，攻擊者初始的資金來源是門羅幣(XMR)。

然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址，不久后在3條鏈上發動攻擊。

事件梳理

資金情況

BSC上：

黑客地址1，黑客將近1.2億美元的流動性添加到Curve分叉項目EllipsisFinance中，目前仍在做市無異動。Polygon上：

資金無異動。

Ethereum上：

1）黑客地址3，只有一筆轉出13.37ETH到地址0xf8b5c45c6388c9ee12546061786026aaeaa4b682的交易；

2）黑客在Curve上添加了超9706萬美元的流動性。后又撤銷流動性將9638萬枚USDC和67萬枚DAI換成9694萬枚DAI，這筆資金仍停留在地址3。目前，3343萬枚USDT已被Tether凍結。

疑難問答

注：eccm為EthCrossChainManager合約的簡稱，eccd為EthCrossChainData合約的簡稱。

問：為什么keeper能更換成功，合約代碼沒有進行鑒權嗎？

答：eccd合約有進行鑒權，僅允許owner調用putCurEpochConPubKeyBytes更改keeper，因為eccd合約的owner是eccm，所以通過eccm可以更改keeper的值。

問：為什么能簽名一筆更換keeper的交易？

答：因為跨鏈要執行的數據沒有判斷好toContract，所以可能原先的keeper以為是一筆正常的跨鏈交易就簽名了,但是他是一筆更換keeper的交易。

問：為什么能繞過代碼bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))的這個限制，然后執行putCurEpochConPubKeyBytes(bytes)函數？

答：函數簽名用的是keccak-256進行哈希，然后取前面的4bytes，這種情況下是較容易被hash碰撞的。

問：黑客更換keeper的交易如何被舊的keepers簽名？

答：keepers是一個鏈中繼器(Replayer)，會對所有正常用戶的跨鏈請求進行簽名。當用戶在BSC上發起跨鏈交易時，keepers會解析用戶請求的目標合約以及調用參數，構造出一個新的交易提交到以太坊上，并在以太坊上用eccm合約調用用戶交易里包含的目標合約。黑客替換keeper的交易本質上也是一筆正常的跨鏈交易，只不過調用的目標合約是eccd合約，調用的參數是更換keeper，所以能被正常簽名。

總結

本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。

慢霧AML旗下MistTrack反洗錢追蹤系統將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。此外，特別感謝虎符Hoo、PolyNetwork、火幣Zlabs、鏈聞、WePiggy、TokenPocket錢包、Bibox、歐科云鏈等團隊及許多個人伙伴在合規的前提下及時與慢霧安全團隊同步相關攻擊者信息，為追蹤攻擊者爭取了寶貴的時間。

目前，在多方努力下，黑客開始陸續歸還資金。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多以太坊

Tags：AINCHAHAIChainKVI Chainblockchain安卓lenovochainUnited Credit Chain

Polygon