Según Beosin EagleEye, monitoreo de riesgos de seguridad, alerta temprana y monitoreo de la plataforma de bloqueo de la compañía de auditoría de seguridad blockchain Beosin, el 6 de julio, el proyecto de puente de cadena cruzada Multichain fue atacado, involucrando alrededor de 126 millones de dólares estadounidenses. **
Se entiende que el predecesor de Multichain es Anyswap.Según información pública, Anyswap se fundó en julio de 2020 y se posicionó originalmente como un DEX de cadena cruzada. Sin embargo, según el desarrollo del proyecto, Anyswap ha centrado gradualmente su negocio en activos de cadena cruzada, debilitando la función de transacción de DEX.
Esta no es la primera vez que se ataca a Multichain. Este proyecto de cadena cruzada ha sido codiciado por piratas informáticos varias veces antes, pero este ataque es confuso. **Según los detalles de la transacción y el análisis del registro de transacciones en la cadena, el robo se realizó no proviene del contrato En lugar de lagunas, está lleno de capas de extrañeza. **
Situación básica del evento
A partir de las 14:21 UTC del 6 de julio de 2023, el "hacker" comenzó a atacar el puente Multichain y, en 3 horas y media, alrededor de 126 millones de dólares en activos de Multichain: Fantom Bridge (EOA) y Multichain: Moonriver Bridge (EOA) Vaya a las siguientes 6 direcciones para conocer la precipitación:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Se encontró seguimiento de Beosin KYT/AML**** el flujo de fondos robados y la relación de tiempo son los siguientes:
De acuerdo con los registros de la cadena, se puede ver que la transacción sospechosa inicial 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 ha llevado a cabo una gran cantidad de transferencias de activos después de la transacción, incluida la transferencia de 4,177,590 DAI, 491,656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD a la dirección sospechosa 0x9d57***2b68; transferir 27 653 473 USDC a la dirección sospechosa 0x027f***5cd8; transferir 30 138 618 USDC a la dirección sospechosa 0xefee* *\ *0c88; transferir 1023 WBTC a la dirección sospechosa 0x622e***7ba0; transferir 7214 WETH a la dirección sospechosa 0x418e***5bb7.
Y transfiera 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC desde el puente Moonriver de Multichain a la dirección sospechosa 0x48Be***4537. Además, se transfirieron 666 470 USDC desde la dirección de puente de Dogechain Multichain sospechosa 0x55F0***4088 a la dirección sospechosa 0x48Be***4537.
Algunas partes sospechosas de este incidente de seguridad
De acuerdo con los detalles de la transacción en cadena y el análisis del registro de transacciones, el robo de monedas no provino de lagunas en el contrato, la dirección robada fue la dirección de la cuenta y el comportamiento robado fue solo la transferencia en cadena más básica.
Entre las muchas transacciones robadas, ** no encontró ninguna característica común. Lo único en común es que todas se transfirieron a direcciones en blanco (sin transacción ni tarifa de manejo antes de la transferencia), y el intervalo entre cada transacción también estuvo dentro de unos pocos minutos. Lleva más de diez minutos, y el intervalo más corto entre transferencias a la misma dirección es de un minuto. Se puede descartar aproximadamente que los 'hackers' roben monedas en lotes a través de scripts o lagunas en el programa. **
El intervalo de tiempo entre las transferencias a diferentes direcciones también es largo, se sospecha que el pirata informático puede haberlo creado temporalmente al robar monedas y hacer una copia de seguridad de la clave privada y otra información. Hay un total de direcciones sospechosas de 6 y monedas robadas de 13. No se descarta que todo el incidente haya sido realizado por varias personas. **
Especulación sobre los métodos de los hackers para robar monedas
En vista de los diversos comportamientos anteriores, suponemos que los piratas informáticos han robado monedas a través de los siguientes métodos
Infíltrese en el fondo de Multichain, obtenga la autoridad de todo el proyecto y transfiera dinero a su propia cuenta nueva a través del fondo.
Al piratear el equipo de la parte del proyecto, se obtiene la clave privada de la dirección y la transferencia se realiza directamente a través de la clave privada.
Operación interna de Multicadena, transferencia de fondos y ganancias bajo la excusa de piratería. Después de ser atacado por piratas informáticos, Multichain no transfirió los activos restantes de la dirección de inmediato, y tomó más de diez horas para anunciar la suspensión de los servicios.La velocidad de respuesta de la parte del proyecto fue demasiado lenta. El comportamiento de los piratas informáticos que transfieren dinero también es muy aleatorio. No solo hay transferencias grandes, sino también transferencias pequeñas de 2 USDT, y el período de tiempo completo es relativamente largo, por lo que es muy probable que los piratas informáticos dominen la clave privada.
¿Cuáles son los problemas de seguridad que enfrentan los protocolos de cadena cruzada?
Básicamente, en este incidente, todos se preocuparon una vez más por la seguridad del puente de cadena cruzada. Después de todo, hace solo unos días, el proyecto de puente de cadena cruzada Poly Network fue atacado por piratas informáticos. Realice una operación de retiro.
Según la investigación del equipo de seguridad de Beosin, se encontró que los desafíos de seguridad que enfrentan los puentes de cadena cruzada son los siguientes.
**La verificación de mensajes entre cadenas está incompleta. **
Cuando el protocolo de cadena cruzada verifica los datos de cadena cruzada, debe incluir la dirección del contrato, la dirección del usuario, la cantidad, la identificación de la cadena, etc. Por ejemplo, el incidente de seguridad de pNetwork hizo que el atacante falsificara el evento Canjear para retirar fondos debido a la dirección de contrato no verificada del registro del evento, y la pérdida acumulada fue de unos 13 millones de dólares estadounidenses
**Se filtró la clave privada del verificador. **
En la actualidad, la mayoría de las cadenas cruzadas todavía se basan en verificadores para realizar errores de cadena cruzada.Si se pierde la clave privada, amenazará los activos de todo el protocolo. **La cadena lateral Ronin perdió $600 millones debido a que sus cuatro validadores Ronin y un validador de terceros fueron controlados por atacantes que utilizaron ingeniería social para retirar los activos del protocolo a voluntad. **
**Reutilización de datos de firma. **
Principalmente significa que el certificado de retiro se puede reutilizar y los fondos se pueden retirar varias veces. Incidente de seguridad de Gnosis Omni Bridge, debido a la ID de cadena codificada, los piratas informáticos pueden usar las mismas credenciales de retiro para retirar los fondos bloqueados correspondientes en las cadenas bifurcadas ETH y ETHW. Pérdidas acumuladas de aproximadamente $66 millones
Por lo tanto, también sugerimos que las partes del proyecto de cadena cruzada presten atención a los riesgos de seguridad y las auditorías de seguridad.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Análisis del caso del robo del hacker Multichain: cerca de $126 millones en fondos involucrados
Según Beosin EagleEye, monitoreo de riesgos de seguridad, alerta temprana y monitoreo de la plataforma de bloqueo de la compañía de auditoría de seguridad blockchain Beosin, el 6 de julio, el proyecto de puente de cadena cruzada Multichain fue atacado, involucrando alrededor de 126 millones de dólares estadounidenses. **
Se entiende que el predecesor de Multichain es Anyswap.Según información pública, Anyswap se fundó en julio de 2020 y se posicionó originalmente como un DEX de cadena cruzada. Sin embargo, según el desarrollo del proyecto, Anyswap ha centrado gradualmente su negocio en activos de cadena cruzada, debilitando la función de transacción de DEX.
Esta no es la primera vez que se ataca a Multichain. Este proyecto de cadena cruzada ha sido codiciado por piratas informáticos varias veces antes, pero este ataque es confuso. **Según los detalles de la transacción y el análisis del registro de transacciones en la cadena, el robo se realizó no proviene del contrato En lugar de lagunas, está lleno de capas de extrañeza. **
A partir de las 14:21 UTC del 6 de julio de 2023, el "hacker" comenzó a atacar el puente Multichain y, en 3 horas y media, alrededor de 126 millones de dólares en activos de Multichain: Fantom Bridge (EOA) y Multichain: Moonriver Bridge (EOA) Vaya a las siguientes 6 direcciones para conocer la precipitación:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Se encontró seguimiento de Beosin KYT/AML**** el flujo de fondos robados y la relación de tiempo son los siguientes:
De acuerdo con los registros de la cadena, se puede ver que la transacción sospechosa inicial 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 ha llevado a cabo una gran cantidad de transferencias de activos después de la transacción, incluida la transferencia de 4,177,590 DAI, 491,656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD a la dirección sospechosa 0x9d57***2b68; transferir 27 653 473 USDC a la dirección sospechosa 0x027f***5cd8; transferir 30 138 618 USDC a la dirección sospechosa 0xefee* *\ *0c88; transferir 1023 WBTC a la dirección sospechosa 0x622e***7ba0; transferir 7214 WETH a la dirección sospechosa 0x418e***5bb7.
Y transfiera 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC desde el puente Moonriver de Multichain a la dirección sospechosa 0x48Be***4537. Además, se transfirieron 666 470 USDC desde la dirección de puente de Dogechain Multichain sospechosa 0x55F0***4088 a la dirección sospechosa 0x48Be***4537.
De acuerdo con los detalles de la transacción en cadena y el análisis del registro de transacciones, el robo de monedas no provino de lagunas en el contrato, la dirección robada fue la dirección de la cuenta y el comportamiento robado fue solo la transferencia en cadena más básica.
Entre las muchas transacciones robadas, ** no encontró ninguna característica común. Lo único en común es que todas se transfirieron a direcciones en blanco (sin transacción ni tarifa de manejo antes de la transferencia), y el intervalo entre cada transacción también estuvo dentro de unos pocos minutos. Lleva más de diez minutos, y el intervalo más corto entre transferencias a la misma dirección es de un minuto. Se puede descartar aproximadamente que los 'hackers' roben monedas en lotes a través de scripts o lagunas en el programa. **
El intervalo de tiempo entre las transferencias a diferentes direcciones también es largo, se sospecha que el pirata informático puede haberlo creado temporalmente al robar monedas y hacer una copia de seguridad de la clave privada y otra información. Hay un total de direcciones sospechosas de 6 y monedas robadas de 13. No se descarta que todo el incidente haya sido realizado por varias personas. **
En vista de los diversos comportamientos anteriores, suponemos que los piratas informáticos han robado monedas a través de los siguientes métodos
Infíltrese en el fondo de Multichain, obtenga la autoridad de todo el proyecto y transfiera dinero a su propia cuenta nueva a través del fondo.
Al piratear el equipo de la parte del proyecto, se obtiene la clave privada de la dirección y la transferencia se realiza directamente a través de la clave privada.
Operación interna de Multicadena, transferencia de fondos y ganancias bajo la excusa de piratería. Después de ser atacado por piratas informáticos, Multichain no transfirió los activos restantes de la dirección de inmediato, y tomó más de diez horas para anunciar la suspensión de los servicios.La velocidad de respuesta de la parte del proyecto fue demasiado lenta. El comportamiento de los piratas informáticos que transfieren dinero también es muy aleatorio. No solo hay transferencias grandes, sino también transferencias pequeñas de 2 USDT, y el período de tiempo completo es relativamente largo, por lo que es muy probable que los piratas informáticos dominen la clave privada.
Básicamente, en este incidente, todos se preocuparon una vez más por la seguridad del puente de cadena cruzada. Después de todo, hace solo unos días, el proyecto de puente de cadena cruzada Poly Network fue atacado por piratas informáticos. Realice una operación de retiro.
Según la investigación del equipo de seguridad de Beosin, se encontró que los desafíos de seguridad que enfrentan los puentes de cadena cruzada son los siguientes.
**La verificación de mensajes entre cadenas está incompleta. **
Cuando el protocolo de cadena cruzada verifica los datos de cadena cruzada, debe incluir la dirección del contrato, la dirección del usuario, la cantidad, la identificación de la cadena, etc. Por ejemplo, el incidente de seguridad de pNetwork hizo que el atacante falsificara el evento Canjear para retirar fondos debido a la dirección de contrato no verificada del registro del evento, y la pérdida acumulada fue de unos 13 millones de dólares estadounidenses
**Se filtró la clave privada del verificador. **
En la actualidad, la mayoría de las cadenas cruzadas todavía se basan en verificadores para realizar errores de cadena cruzada.Si se pierde la clave privada, amenazará los activos de todo el protocolo. **La cadena lateral Ronin perdió $600 millones debido a que sus cuatro validadores Ronin y un validador de terceros fueron controlados por atacantes que utilizaron ingeniería social para retirar los activos del protocolo a voluntad. **
**Reutilización de datos de firma. **
Principalmente significa que el certificado de retiro se puede reutilizar y los fondos se pueden retirar varias veces. Incidente de seguridad de Gnosis Omni Bridge, debido a la ID de cadena codificada, los piratas informáticos pueden usar las mismas credenciales de retiro para retirar los fondos bloqueados correspondientes en las cadenas bifurcadas ETH y ETHW. Pérdidas acumuladas de aproximadamente $66 millones
Por lo tanto, también sugerimos que las partes del proyecto de cadena cruzada presten atención a los riesgos de seguridad y las auditorías de seguridad.