據慢霧AML團隊分析統計,THORChain三次攻擊真實損失如下:
2021年6月29日,THORChain遭“假充值”攻擊,損失近35萬美元;
2021年7月16日,THORChain二次遭“假充值”攻擊,損失近800萬美元;
2021年7月23日,THORChain再三遭攻擊,損失近800萬美元。
這不禁讓人有了思考:三次攻擊的時間如此相近、攻擊手法如此相似,背后作案的人會是同一個嗎?
慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析,為大家還原整個事件的來龍去脈,對資金的流向一探究竟。
第一次攻擊:“假充值”漏洞
攻擊概述
本次攻擊的發生是由于THORChain代碼上的邏輯漏洞,即當跨鏈充值的ERC20代幣符號為ETH時,漏洞會導致充值的代幣被識別為真正的以太幣ETH,進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析,詳見:假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
9352.4874282PERP
1.43974743YFI
2437.936SUSHI
10.615ETH
Web3教程協議RabbitHole遭到意外中斷:金色財經消息,Web3教程協議RabbitHole發推稱,遭到意外中斷,目前正在尋求解決方案。[2022/3/26 14:18:55]
資金流向分析
根據官方提供的黑客地址,慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下:
經MistTrack反洗錢追蹤系統分析發現,攻擊者在6月21號開始籌備,使用匿名兌換平臺ChangeNOW獲得初始資金,然后在5天后(6月26號)部署攻擊合約。
在攻擊成功后,多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash以便躲避追蹤,未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
29777.378146USDT
78.14165727ALCX
11.75154045ETH
0.59654637YFI
第二次攻擊:取值錯誤導致的“假充值”漏洞
攻擊概述
根據分析發現,攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法,傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易,設置交易的value(msg.value)不為0,由于THORChain代碼上的缺陷,在獲取用戶充值金額時,使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值,導致了“空手套白狼”的結果。
Marathon Digital收到與其比特幣挖礦數據中心有關的傳票:金色財經報道,Marathon Digital的高管收到了來自美國證券交易委員會(SEC)的傳票,要求他們提供關于其Hardin數據中心的文件和通訊。SEC正在調查Marathon Digital是否違反了聯邦證券法。Marathon Digital表示正在配合調查,但沒有具體說明可能的違規行為的性質。據悉,2020年10月6日,Marathon Digital與多方簽訂了一系列協議,在Hardin設計和建造一個高達100兆瓦的數據中心,并發行600萬股受限制的Marathon普通股。[2021/11/16 6:53:43]
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
2500ETH
57975.33SUSHI
8.7365YFI
171912.96DODO
514.519ALCX
1167216.739KYL
13.30AAVE
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金,而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。
美股區塊鏈板塊盤前大跌,Marathon Patent跌超15%:美股區塊鏈板塊盤前大跌,Marathon Patent跌超15%,Riot Blockchain跌超12%,微策略、嘉楠科技跌超8%,Coinbase跌5%。[2021/5/13 21:58:12]
在攻擊成功后,相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。
該獲利地址(0xace...70e)只有一筆轉出記錄:通過TornadoCash轉出10ETH。
慢霧AML團隊統計攻擊者獲利地址上的資金發現,官方的統計遺漏了部分損失:
2246.6SUSHI
13318.35DODO
110108KYL
243.929USDT
259237.77HEGIC
第三次攻擊:退款邏輯漏洞
攻擊概述
本次攻擊跟第二次攻擊一樣,攻擊者部署了一個攻擊合約,作為自己的router,在攻擊合約里調用THORChainRouter合約。
但不同的是,攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷,攻擊者調用returnVaultAssets函數并發送很少的ETH,同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時,asgard也就是攻擊合約觸發一個deposit事件,攻擊者隨意構造asset和amount,同時構造一個不符合要求的memo,使THORChain節點程序無法處理,然后按照程序設計就會進入到退款邏輯。
加拿大房地產公司Thornton Place將比特幣添加至投資組合:加拿大房地產公司Thornton Place已將比特幣添加到其投資組合。該公司已為其儲備基金購買了0.4 BTC。根據最近的一份聲明,Thornton Place還將在未來每月對比特幣投資700加元(約合563美元)。該公司表示,預計其加密投資的期限為10年。(Decrypt)[2021/3/19 18:59:12]
(截圖來自viewblock.io)
有趣的是,推特網友把這次攻擊交易中的memo整理出來發現,攻擊者竟喊話THORChain官方,表示其發現了多個嚴重漏洞,可以盜取ETH/BTC/LYC/BNB/BEP20等資產。
(圖片來自https://twitter.com/defixbt/status/1418338501255335937)
根據THORChain官方發布的復盤文章,此次攻擊造成的損失為:
966.62ALCX
20,866,664.53XRUNE
1,672,794.010USDC
56,104SUSHI
6.91YEARN
990,137.46USDT
資金流向分析
慢霧AML團隊分析發現,攻擊者相關的錢包地址情況如下:
MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747),而該地址(0xf6c...747)的資金來源只有一筆記錄,那就是來自于TornadoCash轉入的100ETH,而且時間居然是2020年12月!
Sigma?Prime發布以太坊2.0客戶端Lighthouse v1.0.3版本:據官方消息,以太坊2.0客戶端Lighthouse開發團隊Sigma?Prime 發布Lighthouse v1.0.3版本。該版本解決了同步ETH1存款的超時問題。官方預計這將是主網的最終版本,并建議所有用戶更新到該版本,特別是那些有超時錯誤的用戶。[2020/12/1 22:41:59]
在攻擊成功后,攻擊者將資金轉到了獲利地址(0x651...da1)。
總結
通過以上分析可以發現,三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash),說明攻擊者有一定的“反偵察”意識,而且第三次攻擊的交易都是隱私交易,進一步增強了攻擊者的匿名性。
從三次攻擊涉及的錢包地址來看,沒有出現重合的情況,無法認定是否是同一個攻擊者。從資金規模上來看,從第一次攻擊到第三次攻擊,THORChain被盜的資金量越來越大,從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現,而且攻擊間隔時間比較短,慢霧AML團隊綜合各項線索,推理認為有一定的可能性是同一人所為。
截止目前,三次攻擊后,攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后,THORChain損失資金超1600萬美元!
(被盜代幣價格按文章發布時價格計算)
依托慢霧BTI系統和AML系統中近兩億地址標簽,慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所,累計服務50客戶,累計追回資產超2億美金。(詳見:慢霧AML升級上線,為資產追蹤再增力量)。針對THORChain攻擊事件,慢霧AML團隊將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
跨鏈系統的安全性不容忽視,慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,必要時可聯系專業安全公司進行安全審計。
參考資料
****
THORChain官方復盤文章:
https://medium.com/thorchain/eth-parsing-error-and-exploit-3b343aa6466f
https://thearchitect.notion.site/THORChain-Incident-07-15-7d205f91924e44a5b6499b6df5f6c210
https://thearchitect.notion.site/THORChain-Incident-07-22-874a06db7bf8466caf240e1823697e35__
往期回顧
科普|加密貨幣詐騙,你中招了嗎?(下)
慢霧招募令,加入未來的安全獨角獸
梅開二度——PancakeBunny被黑分析
科普|加密貨幣詐騙,你中招了嗎?(上)
假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/10216164.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
小馮:以太坊再戰1700有望企穩黃金注意日線反彈信號
Tags:CHAHORChainTHORcckkchainTHORChainblockchain錢包iosTHOREUM
鏈聞消息,廣州市政府印發《廣州市建設國家數字經濟創新發展試驗區實施方案》,《方案》提出率先探索數字經濟創新發展新思路、新模式、新路徑,將廣州打造成為國家數字經濟創新發展試驗區核心區.
1900/1/1 0:00:00尊敬的XT用戶: XT即將上線EMON,充提已開通,并于2021年8月2日14:00在創新區開放EMON/USDT。Ethermon.io是基于以太坊的區塊鏈游戲的先驅者,于2017年推出.
1900/1/1 0:00:00為了慶祝StormX(STMX)在KuCoin重磅上線,KuCoin將和CoinSTMX項目方提供2,600,000STMX的豪華獎池.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶:STN項目將從現有ETH交易對轉移到USDT交易對,已暫停充提幣以進行處理。具體日程請確認最新公告.
1900/1/1 0:00:00頭條 央行:督促指導平臺企業全面整改,對虛擬貨幣交易炒作保持高壓態勢7月30日,中國人民銀行召開2021年下半年工作會議.
1900/1/1 0:00:00尊敬的用戶: 幣虎將上線FootballFantasyPro,并在創新區開通FANTA/USDT交易市場.
1900/1/1 0:00:00