据慢雾AML团队分析统计,THORChain三次攻击真实损失如下:
2021年6月29日,THORChain遭“假充值”攻击,损失近35万美元;
2021年7月16日,THORChain二次遭“假充值”攻击,损失近800万美元;
2021年7月23日,THORChain再三遭攻击,损失近800万美元。
这不禁让人有了思考:三次攻击的时间如此相近、攻击手法如此相似,背后作案的人会是同一个吗?
慢雾AML团队利用旗下MistTrack反追踪系统对三次攻击进行了深入追踪分析,为大家还原整个事件的来龙去脉,对资金的流向一探究竟。
第一次攻击:“假充值”漏洞
攻击概述
本次攻击的发生是由于THORChain代码上的逻辑漏洞,即当跨链充值的ERC20代币符号为ETH时,漏洞会导致充值的代币被识别为真正的以太币ETH,进而可以成功的将假ETH兑换为其他的代币。此前慢雾安全团队也进行了分析,详见:假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞。
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
9352.4874282PERP
1.43974743YFI
2437.936SUSHI
10.615ETH
观点:预计加密矿企Marathon Q4收益将是Q3的三倍:金色财经报道,加密矿企Marathon在今日美国股市收盘后公布的第四季度收益。据分析师估计,第四季度收益将是其第三季度收益的三倍,预计将报告3840万美元的收入,但仍低于去年同期的6030万美元。
Marathon首席执行官Fred Thiel本月早些时候表示,因为能够”解决德克萨斯州站点的维护和技术问题”,Marathon 1月份的比特币产量环比增加了45%,在1月底达到了7.3 EH/s 的哈希率容量,并设定了到2023年中期达到23 EH/s的目标。[2023/3/1 12:35:23]
资金流向分析
根据官方提供的黑客地址,慢雾AML团队分析并整理出了攻击者相关的钱包地址情况如下:
经MistTrack反追踪系统分析发现,攻击者在6月21号开始筹备,使用匿名兑换平台ChangeNOW获得初始资金,然后在5天后(6月26号)部署攻击合约。
在攻击成功后,多个获利地址都把攻击获得的ETH转到混币平台TornadoCash以便躲避追踪,未混币的资金主要是留存在钱包地址(0xace...d75)和(0x06b...2fa)上。
慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:
29777.378146USDT
78.14165727ALCX
RabbitHole拟于明年初推出Quests V2更新:12月5日消息,Web3教程协议RabbitHole将于明年初推出Quests V2更新,协议将更全面的把Token奖励与链上行为结合,并新增每日任务和每周任务,为用户提供赚取收益的机会。[2022/12/5 21:22:55]
11.75154045ETH
0.59654637YFI
第二次攻击:取值错误导致的“假充值”漏洞
攻击概述
根据分析发现,攻击者在攻击合约中调用了THORChainRouter合约的deposit方法,传递的amount参数是0。然后攻击者地址发起了一笔调用攻击合约的交易,设置交易的value(msg.value)不为0,由于THORChain代码上的缺陷,在获取用户充值金额时,使用交易里的msg.value值覆盖了正确的Depositevent中的amount值,导致了“空手套白狼”的结果。
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
2500ETH
57975.33SUSHI
8.7365YFI
171912.96DODO
514.519ALCX
1167216.739KYL
13.30AAVE
资金流向分析
VAIOT Marketing Manager Anthony:受监管的加密货币项目VAIOT为投资者带来更多的透明度:2021年05月12日晚,由Gate.io主办的直播专访节目《酒局币赴》邀请到VAIOT Marketing Manager Anthony 直播分享近期最新发展。直播期间Anthony与Gate.io立秋就VAIOT 及其相关事项进行了探讨与交流。
Marvin表示,VAIOT围绕其3种业务/生产线为消费者和企业提供了基于区块链的AI助手产品组合,并且所提供的产品/服务受到代币经济的支持。VAIOT已经获得了第一个商业客户:比利时的大型零售商店网络,该网络将使用我们提供的助手作为语音商务解决方案。其次,VAIOT的最终目标是开发个人AI法律助手,来提供法律服务,包括基于区块链的传统和数字合同。与智能助手的轻松通信将使请求和获得法律服务(例如合同)变得容易且支付得起。值得一提的是,VAIOT是受马耳他监管的加密货币项目(VFAA监管)。达到此里程碑之后,因为监管机构会不断对我们进行监控,并进行年度审计等,所以使得我们能够为投资者带来更多的透明度。[2021/5/13 21:57:01]
慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:
MistTrack反追踪系统分析发现,攻击者地址(0x4b7...c5a)给攻击者地址(0x3a1...031)提供了初始资金,而攻击者地址(0x4b7...c5a)的初始资金来自于混币平台TornadoCash转出的10ETH。
以太坊2.0客户端Lighthouse发布最新进展:内置Schlesi支持:以太坊2.0客户端Lighthouse开发团队Sigma Prime近期发布了项目最新进展,具体如下:
- 密钥管理实施;
- 首次使用Trail of Bits进行外部安全审查;
- 内存占用最小化;
- 依赖项升级;
- 内置Schlesi支持;
- BLS升级。[2020/5/24]
在攻击成功后,相关地址都把攻击获得的币转到地址(0xace...70e)。
该获利地址(0xace...70e)只有一笔转出记录:通过TornadoCash转出10ETH。
慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:
2246.6SUSHI
13318.35DODO
110108KYL
243.929USDT
259237.77HEGIC
第三次攻击:退款逻辑漏洞
攻击概述
本次攻击跟第二次攻击一样,攻击者部署了一个攻击合约,作为自己的router,在攻击合约里调用THORChainRouter合约。
但不同的是,攻击者这次利用的是THORChainRouter合约中关于退款的逻辑缺陷,攻击者调用returnVaultAssets函数并发送很少的ETH,同时把攻击合约设置为asgard。然后THORChainRouter合约把ETH发送到asgard时,asgard也就是攻击合约触发一个deposit事件,攻击者随意构造asset和amount,同时构造一个不符合要求的memo,使THORChain节点程序无法处理,然后按照程序设计就会进入到退款逻辑。
动态 | REX出现挤兑后,用户可在EOS Authority网站查看REX赎回情况:由于近日主网的CPU资源需求量上涨,当前EOS主网REX池中可赎回EOS不足,卖出REX时需要排队。用户可通过EOS Authority网站查看REX赎回情况,具体请点击“原文链接”。(MEET.ONE)[2019/11/5]
(截图来自viewblock.io)
有趣的是,推特网友把这次攻击交易中的memo整理出来发现,攻击者竟喊话THORChain官方,表示其发现了多个严重漏洞,可以盗取ETH/BTC/LYC/BNB/BEP20等资产。
(图片来自https://twitter.com/defixbt/status/1418338501255335937)
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
966.62ALCX
20,866,664.53XRUNE
1,672,794.010USDC
56,104SUSHI
6.91YEARN
990,137.46USDT
资金流向分析
慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:
MistTrack反追踪系统分析发现,攻击者地址(0x8c1...d62)的初始资金来源是另一个攻击者地址(0xf6c...747),而该地址(0xf6c...747)的资金来源只有一笔记录,那就是来自于TornadoCash转入的100ETH,而且时间居然是2020年12月!
在攻击成功后,攻击者将资金转到了获利地址(0x651...da1)。
总结
通过以上分析可以发现,三次攻击的初始资金均来自匿名平台(ChangeNOW、TornadoCash),说明攻击者有一定的“反侦察”意识,而且第三次攻击的交易都是隐私交易,进一步增强了攻击者的匿名性。
从三次攻击涉及的钱包地址来看,没有出现重合的情况,无法认定是否是同一个攻击者。从资金规模上来看,从第一次攻击到第三次攻击,THORChain被盗的资金量越来越大,从14万美金到近千万美金。但三次攻击获利的大部分资金都没有被变现,而且攻击间隔时间比较短,慢雾AML团队综合各项线索,推理认为有一定的可能性是同一人所为。
截止目前,三次攻击后,攻击者资金留存地址共有余额近1300万美元。三次攻击事件后,THORChain损失资金超1600万美元!
(被盗代币价格按文章发布时价格计算)
依托慢雾BTI系统和AML系统中近两亿地址标签,慢雾MistTrack反追踪系统全面覆盖了全球主流交易所,累计服务50客户,累计追回资产超2亿美金。(详见:慢雾AML升级上线,为资产追踪再增力量)。针对THORChain攻击事件,慢雾AML团队将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
跨链系统的安全性不容忽视,慢雾科技建议项目方在进行跨链系统设计时应充分考虑不同公链不同代币的特性,充分进行“假充值”测试,必要时可联系专业安全公司进行安全审计。
参考资料
****
THORChain官方复盘文章:
https://medium.com/thorchain/eth-parsing-error-and-exploit-3b343aa6466f
https://thearchitect.notion.site/THORChain-Incident-07-15-7d205f91924e44a5b6499b6df5f6c210
https://thearchitect.notion.site/THORChain-Incident-07-22-874a06db7bf8466caf240e1823697e35__
往期回顾
科普|加密货币,你中招了吗?(下)
慢雾招募令,加入未来的安全独角兽
梅开二度——PancakeBunny被黑分析
科普|加密货币,你中招了吗?(上)
假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
币乎
https://bihu.com/people/586104
知识星球
https://t.zsxq.com/Q3zNvvF
火星号
http://t.cn/AiRkv4Gz
链闻号
https://www.chainnews.com/u/958260692213.htm
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布68篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/10216164.html
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
小冯:以太坊再战1700有望企稳黄金注意日线反弹信号
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。