THORChain連遭三擊 黑客會是同一個嗎？_CHA

據慢霧AML團隊分析統計，THORChain?三次攻擊真實損失如下：

2021年6月29日，THORChain遭“假充值”攻擊，損失近35萬美元；

2021年7月16日，THORChain二次遭“假充值”攻擊，損失近800萬美元；

2021年7月23日，THORChain再三遭攻擊，損失近800萬美元。

這不禁讓人有了思考：三次攻擊的時間如此相近、攻擊手法如此相似，背后作案的人會是同一個嗎？

慢霧AML?團隊利用旗下?MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析，為大家還原整個事件的來龍去脈，對資金的流向一探究竟。

第一次攻擊：“假充值”漏洞

攻擊概述

本次攻擊的發生是由于THORChain代碼上的邏輯漏洞，即當跨鏈充值的ERC20代幣符號為ETH時，漏洞會導致充值的代幣被識別為真正的以太幣ETH，進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析，詳見：假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH

比特幣礦企Marathon本季度收入達到5110萬美元:金色財經報道，比特幣礦企Marathon Digital公布2023年第一季度財務業績，本季度收入為5110萬美元，略低于上年同期的收入5170萬美元，前三個月生產2,195個比特幣，同比去年增長74%。財務方面賬面現金增加1200萬美元，債務減少5000萬美元。[2023/5/11 14:56:42]

資金流向分析

根據官方提供的黑客地址，慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下：

經?MistTrack反洗錢追蹤系統分析發現，攻擊者在6月21號開始籌備，使用匿名兌換平臺ChangeNOW?獲得初始資金，然后在5天后(6月26號)部署攻擊合約。

在攻擊成功后，多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash?以便躲避追蹤，未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。

比特幣托管機構Xapo與Thoughtworks合作進行全球擴張:10月12日消息，比特幣托管機構Xapo已與納斯達克上市公司Thoughtworks（Nasdaq：TWKS）達成合作。Thoughtworks是一家集戰略、設計和工程于一體的全球技術咨詢公司，此次合作旨在推動Xapo數字創新及其未來18個月的全球擴張。該計劃將使Xapo成為一家全球可訪問的銀行，提供一個國際美元銀行賬戶，可通過受監管的方式訪問比特幣。有了VASP許可證，Xapo已聘請Thoughtworks將其服務從錢包擴展到提供借記卡、存款保護、余額利息等全數字銀行服務。（Business Wire）[2021/10/12 20:23:37]

慢霧AML團隊統計攻擊者獲利地址上的資金發現，官方的統計遺漏了部分損失：

29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI

第二次攻擊：取值錯誤導致的“假充值”漏洞

攻擊概述

根據分析發現，攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法，傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易，設置交易的value(msg.value)不為0，由于THORChain代碼上的缺陷，在獲取用戶充值金額時，使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值，導致了“空手套白狼”的結果。

Mythos Capital創始人：DeFi的增長不會對ETH的價格產生積極影響:Mythos Capital創始人、以太坊支持者Ryan Sean Adams剛剛發推稱，經過6天的DeFi代幣注入和ETH停滯不前，人們完全相信DeFi的增長不會對ETH的價格產生積極影響。[2020/6/22]

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE

資金流向分析

慢霧AML團隊分析發現，攻擊者相關的錢包地址情況如下：

MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金，而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。

聲音 | Anthony Pompliano：或有機會采訪Ripple CEO 近期曾表示“對XRP需求場景感到困惑”:Morgan Creek Digital聯合創始人Anthony Pompliano今日發推稱，他被介紹給了Ripple/XRP團隊，將有可能接觸并采訪Ripple CEO Brad Garlinghouse。他向網友征詢采訪提問，社區紛紛給出意見。但到目前為止，采訪是否真的會進行還沒有定論。Pompliano表示，他傾向于讓三個或更多的人參與采訪，但截至發稿，Garlinghouse和Ripple團隊都沒有就是否有興趣參與討論進行回應。

據悉，Pompliano最近接受采訪時表示，他很難理解為什么需要XRP來幫助銀行和金融機構轉移資金：“坦白地說，我對XRP非常困惑。誠然，我認為Ripple公司的目標很有意義——幫助銀行更容易地轉移資金。這似乎是一個非常理性的觀點，如果你曾經使用過銀行，你就會知道個中苦衷。問題是——我可能缺乏理解——在這個過程中如何實現XRP需求。我總是說，如果人們能夠心理上將Ripple和XRP分開，那么對Ripple的負面評價就會少得多——其中一些是關于XRP是如何被銷售的，另一些是關于XRP是如何使用的。”（The Daily Hodl）[2019/9/29]

動態 | 絲綢之路2號創始人Thomas White被判入獄5年:4月13日消息，昨日，英國一家法院判處絲綢之路2號創始人Thomas White 5年零4個月的刑期。2015年，《連線》雜志公布一份“暗網梟名單”，其中包括綽號為Dread Pirate Roberts 2 （DPR2）的Thomas White，他是第2個絲綢之路網站的創建者，該網站在FBI逮捕絲綢之路網站創始人Ross Ulbricht后立即發布上線。 據Bitcoin.com報道，國家犯罪署（NCA）透露， White在2014年被捕時擁有約50枚比特幣（25.5萬美元）。另外，在聽聞“Thomas White被判五年刑期，另一名SR2管理者Brian Farrell被判八年刑期”之后，絲綢之路網站創始人的家人認為Ross因絲綢之路被判無期徒刑是不公平的。[2019/4/13]

在攻擊成功后，相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。

該獲利地址(0xace...70e)只有一筆轉出記錄：通過TornadoCash轉出10ETH。

慢霧AML團隊統計攻擊者獲利地址上的資金發現，官方的統計遺漏了部分損失：

2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC

第三次攻擊：退款邏輯漏洞

攻擊概述

本次攻擊跟第二次攻擊一樣，攻擊者部署了一個攻擊合約，作為自己的router，在攻擊合約里調用THORChainRouter合約。但不同的是，攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷，攻擊者調用returnVaultAssets函數并發送很少的ETH，同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時，asgard也就是攻擊合約觸發一個deposit事件，攻擊者隨意構造asset和amount，同時構造一個不符合要求的memo，使THORChain節點程序無法處理，然后按照程序設計就會進入到退款邏輯。

(截圖來自viewblock.io)

有趣的是，推特網友把這次攻擊交易中的memo整理出來發現，攻擊者竟喊話THORChain官方，表示其發現了多個嚴重漏洞，可以盜取ETH/BTC/LYC/BNB/BEP20等資產。

(圖片來自https://twitter.com/defixbt/status/1418338501255335937)

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT

資金流向分析

慢霧AML團隊分析發現，攻擊者相關的錢包地址情況如下：

MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747)，而該地址(0xf6c...747)的資金來源只有一筆記錄，那就是來自于TornadoCash轉入的100ETH，而且時間居然是2020年12月！

在攻擊成功后，攻擊者將資金轉到了獲利地址(0x651...da1)。

總結

通過以上分析可以發現，三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash)，說明攻擊者有一定的“反偵察”意識，而且第三次攻擊的交易都是隱私交易，進一步增強了攻擊者的匿名性。

從三次攻擊涉及的錢包地址來看，沒有出現重合的情況，無法認定是否是同一個攻擊者。從資金規模上來看，從第一次攻擊到第三次攻擊，THORChain被盜的資金量越來越大，從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現，而且攻擊間隔時間比較短，慢霧AML團隊綜合各項線索，推理認為有一定的可能性是同一人所為。

截止目前，三次攻擊后，攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后，THORChain損失資金超1600萬美元！

(被盜代幣價格按文章發布時價格計算)

依托慢霧BTI系統和AML系統中近兩億地址標簽，慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所，累計服務50+客戶，累計追回資產超2億美金。(詳見：慢霧AML升級上線，為資產追蹤再增力量)。針對THORChain攻擊事件，?慢霧AML團隊將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

跨鏈系統的安全性不容忽視，慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性，充分進行“假充值”測試，必要時可聯系專業安全公司進行安全審計。

Tags：CHARChainORCTHORinterstellarchainpolarchainORCAthor幣在哪個交易所

比特幣交易所