وفقًا لرصد Beosin EagleEye للمخاطر الأمنية والإنذار المبكر ومراقبة منصة الحظر لشركة Beosin لتدقيق أمن blockchain ، في السادس من يوليو ، تعرض مشروع الجسر متعدد السلسلة Multichain للهجوم ، بتكلفة تصل إلى 126 مليون دولار أمريكي. **
من المعلوم أن سلف Multichain هو Anyswap. وفقًا للمعلومات العامة ، تم تأسيس Anyswap في يوليو 2020 وتم وضعه في الأصل على أنه DEX متعدد السلاسل. ومع ذلك ، بناءً على تطوير المشروع ، ركزت Anyswap أعمالها تدريجياً على الأصول عبر السلسلة ، مما أضعف وظيفة المعاملات في DEX.
ليست هذه هي المرة الأولى التي يتم فيها الهجوم على Multichain. لقد رغب المتسللون في هذا المشروع متعدد السلاسل عدة مرات من قبل ، ولكن هذا الهجوم مربك. ** وفقًا لتفاصيل المعاملة وتحليل سجل المعاملات على السلسلة ، فقد حدثت السرقة لا تأتي من العقد بدلاً من الثغرات ، فهي مليئة بطبقات من الغرابة. **
الوضع الأساسي للحدث
بدءًا من الساعة 14:21 بالتوقيت العالمي المنسق في 6 يوليو 2023 ، بدأ "الهاكر" في مهاجمة جسر Multichain ، وفي غضون 3 ساعات ونصف ، حصل حوالي 126 مليون دولار أمريكي من الأصول من Multichain: Fantom Bridge (EOA) و Multichain: Moonriver Bridge (EOA) انتقل إلى العناوين الستة التالية لهطول الأمطار:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
** تم العثور على تتبع Beosin KYT / AML **** ** تدفق الأموال المسروقة وعلاقة الوقت كما يلي:
وفقًا للسجلات الموجودة على السلسلة ، يمكن ملاحظة أن المعاملة المشبوهة الأولية 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 قد نفذت عددًا كبيرًا من عمليات نقل الأصول بعد المعاملة ، بما في ذلك تحويل 4،177،590 DAI ، 491،654T WOO ، 1،296،990 ICE، 1،361،885 CRV، 134 YFI، 502،400 TUSD إلى العنوان المشبوه 0x9d57 \ * \ * \ * 2b68؛ نقل 27،653،473 USDC إلى العنوان المشبوه 0x027f \ * \ * \ * 5cd8؛ نقل 30،138،618 USDC إلى العنوان المشبوه 0xefee \ * \ * * * 0c88 ؛ نقل 1،023 WBTC إلى العنوان المشبوه 0x622e \ * \ * \ * 7ba0 ؛ نقل 7214 WETH إلى العنوان المشبوه 0x418e \ * \ * \ * 5bb7.
وتحويل 4،830،466 USDC ، 1،042،195 USDT ، 780،080 DAI ، 6 WBTC من جسر Moonriver Multichain إلى العنوان المشبوه 0x48Be \ * \ * \ * 4537. بالإضافة إلى ذلك ، تم نقل 666470 دولارًا أمريكيًا من عنوان جسر Multichain Dogechain المشتبه به 0x55F0 \ * \ * \ * 4088 إلى العنوان المشبوه 0x48Be \ * \ * \ * 4537.
بعض الأجزاء المشبوهة لهذا الحادث الأمني
وفقًا لتفاصيل المعاملات على السلسلة وتحليل سجل المعاملات ، لم تأت سرقة العملات من ثغرات العقد ، وكان العنوان المسروق هو عنوان الحساب ، وكان السلوك المسروق هو أبسط عملية تحويل على السلسلة.
من بين العديد من المعاملات المسروقة ، ** لم تجد أي ميزات مشتركة. الشيء الوحيد المشترك هو أنه تم تحويلها جميعًا إلى عناوين فارغة (لا توجد معاملة ولا توجد رسوم معالجة قبل التحويل) ، كما أن الفترة الفاصلة بين كل معاملة كانت ضمن بضع دقائق. يستغرق الأمر أكثر من عشر دقائق ، وأقصر فترة زمنية بين عمليات النقل إلى نفس العنوان هي دقيقة واحدة. ويمكن استبعاد أن "المتسللين" يسرقون العملات على دفعات من خلال البرامج النصية أو ثغرات البرامج. **
الفاصل الزمني بين عمليات النقل إلى عناوين مختلفة طويل أيضًا ، ويُشتبه في أن المخترق قد أنشأه مؤقتًا عند سرقة العملات ، وعمل نسخة احتياطية من المفتاح الخاص والمعلومات الأخرى. هناك ما مجموعه 6 عناوين مشبوهة و 13 عملة مسروقة ، ولا يستبعد أن تكون الحادثة برمتها قد نفذها عدة أشخاص. **
التكهنات حول أساليب الهاكرز لسرقة العملات المعدنية
في ضوء السلوكيات المختلفة المذكورة أعلاه ، نعتقد أن المتسللين قد سرقوا العملات من خلال الطرق التالية
التسلل إلى خلفية Multichain ، والحصول على سلطة المشروع بأكمله ، وتحويل الأموال إلى حسابك الجديد من خلال الخلفية.
عن طريق اختراق معدات طرف المشروع ، يتم الحصول على المفتاح الخاص للعنوان ، ويتم النقل مباشرة من خلال المفتاح الخاص.
التشغيل الداخلي لـ Multichain وتحويل الأموال والربح بحجة الاختراق. بعد مهاجمتها من قبل المتسللين ، لم تقم Multichain بنقل الأصول المتبقية من العنوان على الفور ، واستغرق الإعلان عن تعليق الخدمات أكثر من عشر ساعات ، وكانت سرعة استجابة طرف المشروع بطيئة للغاية. يعتبر سلوك المتسللين الذين يقومون بتحويل الأموال عشوائيًا للغاية ، حيث لا توجد تحويلات كبيرة فحسب ، بل هناك أيضًا تحويلات صغيرة بقيمة 2USDT ، والفترة الزمنية بأكملها كبيرة نسبيًا ، لذلك من المحتمل جدًا أن يتقن المتسللون المفتاح الخاص.
ما هي المشكلات الأمنية التي تواجهها البروتوكولات عبر السلاسل؟
في الأساس ، في هذا الحادث ، شعر الجميع بالقلق مرة أخرى بشأن أمن الجسر المتقاطع. بعد كل شيء ، قبل أيام قليلة فقط ، تعرض مشروع الجسر المتقاطع Poly Network لهجوم من قبل المتسللين. قم بعملية سحب.
وفقًا لبحث فريق Beosin الأمني ، فقد وجد أن التحديات الأمنية التي تواجهها الجسور عبر السلاسل هي كما يلي.
** التحقق من الرسائل عبر السلاسل غير مكتمل. **
عندما يتحقق البروتوكول عبر السلسلة من البيانات عبر السلاسل ، يجب أن يتضمن عنوان العقد وعنوان المستخدم والكمية ومعرف السلسلة وما إلى ذلك. ** على سبيل المثال ، تسبب حادث أمان pNetwork في قيام المهاجم بتزوير حدث الاسترداد لسحب الأموال بسبب عنوان العقد الذي لم يتم التحقق منه لسجل الحدث ، وبلغت الخسارة التراكمية حوالي 13 مليون دولار أمريكي **
** تم تسريب المفتاح الخاص للمحقق. **
في الوقت الحالي ، لا تزال معظم السلاسل المتقاطعة تعتمد على أدوات التحقق لتنفيذ أخطاء عبر السلسلة ، وفي حالة فقد المفتاح الخاص ، فإنه سيهدد أصول البروتوكول بأكمله. ** خسر Ronin sidechain 600 مليون دولار بسبب أربعة مدققين من Ronin ومدقق طرف ثالث يتحكم فيه مهاجمون باستخدام الهندسة الاجتماعية لسحب أصول البروتوكول عند الرغبة. **
** إعادة استخدام بيانات التوقيع. **
هذا يعني بشكل أساسي أنه يمكن إعادة استخدام شهادة السحب ، ويمكن سحب الأموال عدة مرات. ** حادث أمان Gnosis Omni Bridge ، بسبب معرّف السلسلة المشفر ، يمكن للقراصنة استخدام نفس بيانات اعتماد السحب لسحب الأموال المقفلة المقابلة على السلاسل المتشعبة ETH و ETHW. خسائر تراكمية قرابة 66 مليون دولار **
لذلك ، نقترح أيضًا أن تهتم أطراف المشروع عبر السلاسل بمخاطر الأمان وعمليات تدقيق الأمان.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تحليل قضية سرقة المتسللين Multichain: حوالي 126 مليون دولار من الأموال المتورطة
وفقًا لرصد Beosin EagleEye للمخاطر الأمنية والإنذار المبكر ومراقبة منصة الحظر لشركة Beosin لتدقيق أمن blockchain ، في السادس من يوليو ، تعرض مشروع الجسر متعدد السلسلة Multichain للهجوم ، بتكلفة تصل إلى 126 مليون دولار أمريكي. **
من المعلوم أن سلف Multichain هو Anyswap. وفقًا للمعلومات العامة ، تم تأسيس Anyswap في يوليو 2020 وتم وضعه في الأصل على أنه DEX متعدد السلاسل. ومع ذلك ، بناءً على تطوير المشروع ، ركزت Anyswap أعمالها تدريجياً على الأصول عبر السلسلة ، مما أضعف وظيفة المعاملات في DEX.
ليست هذه هي المرة الأولى التي يتم فيها الهجوم على Multichain. لقد رغب المتسللون في هذا المشروع متعدد السلاسل عدة مرات من قبل ، ولكن هذا الهجوم مربك. ** وفقًا لتفاصيل المعاملة وتحليل سجل المعاملات على السلسلة ، فقد حدثت السرقة لا تأتي من العقد بدلاً من الثغرات ، فهي مليئة بطبقات من الغرابة. **
بدءًا من الساعة 14:21 بالتوقيت العالمي المنسق في 6 يوليو 2023 ، بدأ "الهاكر" في مهاجمة جسر Multichain ، وفي غضون 3 ساعات ونصف ، حصل حوالي 126 مليون دولار أمريكي من الأصول من Multichain: Fantom Bridge (EOA) و Multichain: Moonriver Bridge (EOA) انتقل إلى العناوين الستة التالية لهطول الأمطار:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
** تم العثور على تتبع Beosin KYT / AML **** ** تدفق الأموال المسروقة وعلاقة الوقت كما يلي:
وفقًا للسجلات الموجودة على السلسلة ، يمكن ملاحظة أن المعاملة المشبوهة الأولية 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 قد نفذت عددًا كبيرًا من عمليات نقل الأصول بعد المعاملة ، بما في ذلك تحويل 4،177،590 DAI ، 491،654T WOO ، 1،296،990 ICE، 1،361،885 CRV، 134 YFI، 502،400 TUSD إلى العنوان المشبوه 0x9d57 \ * \ * \ * 2b68؛ نقل 27،653،473 USDC إلى العنوان المشبوه 0x027f \ * \ * \ * 5cd8؛ نقل 30،138،618 USDC إلى العنوان المشبوه 0xefee \ * \ * * * 0c88 ؛ نقل 1،023 WBTC إلى العنوان المشبوه 0x622e \ * \ * \ * 7ba0 ؛ نقل 7214 WETH إلى العنوان المشبوه 0x418e \ * \ * \ * 5bb7.
وتحويل 4،830،466 USDC ، 1،042،195 USDT ، 780،080 DAI ، 6 WBTC من جسر Moonriver Multichain إلى العنوان المشبوه 0x48Be \ * \ * \ * 4537. بالإضافة إلى ذلك ، تم نقل 666470 دولارًا أمريكيًا من عنوان جسر Multichain Dogechain المشتبه به 0x55F0 \ * \ * \ * 4088 إلى العنوان المشبوه 0x48Be \ * \ * \ * 4537.
وفقًا لتفاصيل المعاملات على السلسلة وتحليل سجل المعاملات ، لم تأت سرقة العملات من ثغرات العقد ، وكان العنوان المسروق هو عنوان الحساب ، وكان السلوك المسروق هو أبسط عملية تحويل على السلسلة.
من بين العديد من المعاملات المسروقة ، ** لم تجد أي ميزات مشتركة. الشيء الوحيد المشترك هو أنه تم تحويلها جميعًا إلى عناوين فارغة (لا توجد معاملة ولا توجد رسوم معالجة قبل التحويل) ، كما أن الفترة الفاصلة بين كل معاملة كانت ضمن بضع دقائق. يستغرق الأمر أكثر من عشر دقائق ، وأقصر فترة زمنية بين عمليات النقل إلى نفس العنوان هي دقيقة واحدة. ويمكن استبعاد أن "المتسللين" يسرقون العملات على دفعات من خلال البرامج النصية أو ثغرات البرامج. **
الفاصل الزمني بين عمليات النقل إلى عناوين مختلفة طويل أيضًا ، ويُشتبه في أن المخترق قد أنشأه مؤقتًا عند سرقة العملات ، وعمل نسخة احتياطية من المفتاح الخاص والمعلومات الأخرى. هناك ما مجموعه 6 عناوين مشبوهة و 13 عملة مسروقة ، ولا يستبعد أن تكون الحادثة برمتها قد نفذها عدة أشخاص. **
في ضوء السلوكيات المختلفة المذكورة أعلاه ، نعتقد أن المتسللين قد سرقوا العملات من خلال الطرق التالية
التسلل إلى خلفية Multichain ، والحصول على سلطة المشروع بأكمله ، وتحويل الأموال إلى حسابك الجديد من خلال الخلفية.
عن طريق اختراق معدات طرف المشروع ، يتم الحصول على المفتاح الخاص للعنوان ، ويتم النقل مباشرة من خلال المفتاح الخاص.
التشغيل الداخلي لـ Multichain وتحويل الأموال والربح بحجة الاختراق. بعد مهاجمتها من قبل المتسللين ، لم تقم Multichain بنقل الأصول المتبقية من العنوان على الفور ، واستغرق الإعلان عن تعليق الخدمات أكثر من عشر ساعات ، وكانت سرعة استجابة طرف المشروع بطيئة للغاية. يعتبر سلوك المتسللين الذين يقومون بتحويل الأموال عشوائيًا للغاية ، حيث لا توجد تحويلات كبيرة فحسب ، بل هناك أيضًا تحويلات صغيرة بقيمة 2USDT ، والفترة الزمنية بأكملها كبيرة نسبيًا ، لذلك من المحتمل جدًا أن يتقن المتسللون المفتاح الخاص.
في الأساس ، في هذا الحادث ، شعر الجميع بالقلق مرة أخرى بشأن أمن الجسر المتقاطع. بعد كل شيء ، قبل أيام قليلة فقط ، تعرض مشروع الجسر المتقاطع Poly Network لهجوم من قبل المتسللين. قم بعملية سحب.
وفقًا لبحث فريق Beosin الأمني ، فقد وجد أن التحديات الأمنية التي تواجهها الجسور عبر السلاسل هي كما يلي.
** التحقق من الرسائل عبر السلاسل غير مكتمل. **
عندما يتحقق البروتوكول عبر السلسلة من البيانات عبر السلاسل ، يجب أن يتضمن عنوان العقد وعنوان المستخدم والكمية ومعرف السلسلة وما إلى ذلك. ** على سبيل المثال ، تسبب حادث أمان pNetwork في قيام المهاجم بتزوير حدث الاسترداد لسحب الأموال بسبب عنوان العقد الذي لم يتم التحقق منه لسجل الحدث ، وبلغت الخسارة التراكمية حوالي 13 مليون دولار أمريكي **
** تم تسريب المفتاح الخاص للمحقق. **
في الوقت الحالي ، لا تزال معظم السلاسل المتقاطعة تعتمد على أدوات التحقق لتنفيذ أخطاء عبر السلسلة ، وفي حالة فقد المفتاح الخاص ، فإنه سيهدد أصول البروتوكول بأكمله. ** خسر Ronin sidechain 600 مليون دولار بسبب أربعة مدققين من Ronin ومدقق طرف ثالث يتحكم فيه مهاجمون باستخدام الهندسة الاجتماعية لسحب أصول البروتوكول عند الرغبة. **
** إعادة استخدام بيانات التوقيع. **
هذا يعني بشكل أساسي أنه يمكن إعادة استخدام شهادة السحب ، ويمكن سحب الأموال عدة مرات. ** حادث أمان Gnosis Omni Bridge ، بسبب معرّف السلسلة المشفر ، يمكن للقراصنة استخدام نفس بيانات اعتماد السحب لسحب الأموال المقفلة المقابلة على السلاسل المتشعبة ETH و ETHW. خسائر تراكمية قرابة 66 مليون دولار **
لذلك ، نقترح أيضًا أن تهتم أطراف المشروع عبر السلاسل بمخاطر الأمان وعمليات تدقيق الأمان.