Analisis kasus pencurian peretas Multichain: melibatkan dana sekitar $126 juta

Menurut pemantauan risiko keamanan Beosin EagleEye, peringatan dini dan pemantauan platform pemblokiran dari perusahaan audit keamanan blockchain Beosin, pada 6 Juli, proyek jembatan lintas rantai Multichain diserang, melibatkan sekitar 126 juta dolar AS. **

Diketahui bahwa pendahulu Multichain adalah Anyswap.Menurut informasi publik, Anyswap didirikan pada Juli 2020 dan pada awalnya diposisikan sebagai DEX lintas rantai. Namun, berdasarkan pengembangan proyek, Anyswap secara bertahap memfokuskan bisnisnya pada aset rantai silang, melemahkan fungsi transaksi DEX.

Ini bukan pertama kalinya Multichain diserang. Proyek lintas rantai ini telah didambakan oleh peretas beberapa kali sebelumnya, tetapi serangan ini membingungkan. **Menurut detail transaksi dan analisis log transaksi pada rantai, pencurian itu terjadi bukan berasal dari kontrak Alih-alih celah, itu penuh dengan lapisan keanehan. **

1. Situasi dasar acara

Mulai pukul 14:21 UTC tanggal 6 Juli 2023, "peretas" mulai menyerang jembatan Multichain, dan dalam waktu 3 setengah jam, aset sekitar 126 juta USD dari Multichain: Fantom Bridge (EOA) dan Multichain: Moonriver Bridge (EOA) Pergi ke 6 alamat berikut untuk presipitasi:

0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7

0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0

0x027f1571aca57354223276722dc7b572a5b05cd8

0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68

0xefeef8e968a0db92781ac7b3b7c821909ef10c88

0x48BeAD89e696Ee93B04913cB0006f35adB844537

Pelacakan Beosin KYT/AML** ditemukan** aliran dana yang dicuri dan hubungan waktu adalah sebagai berikut:

Menurut catatan pada rantai, terlihat bahwa transaksi mencurigakan awal 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 telah melakukan transfer aset dalam jumlah besar setelah transaksi, termasuk transfer 4.177.590 DAI, 491.656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1.296.990 ICE, 1.361.885 CRV, 134 YFI, 502.400 TUSD ke alamat mencurigakan 0x9d57***2b68; transfer 27.653.473 USDC ke alamat mencurigakan 0x027f***5cd8; transfer 30.138.618 USDC ke alamat mencurigakan 0xefee\ **\ *0c88; transfer 1.023 WBTC ke alamat mencurigakan 0x622e***7ba0; transfer 7.214 WETH ke alamat mencurigakan 0x418e***5bb7.

Dan transfer 4.830.466 USDC, 1.042.195 USDT, 780.080 DAI, 6 WBTC dari jembatan Moonriver Multichain ke alamat mencurigakan 0x48Be***4537. Selain itu, 666.470 USDC ditransfer dari alamat jembatan Multichain Dogechain yang dicurigai 0x55F0***4088 ke alamat mencurigakan 0x48Be***4537.

2. Beberapa bagian yang mencurigakan dari insiden keamanan ini

Menurut perincian transaksi on-chain dan analisis log transaksi, pencurian koin tidak berasal dari celah kontrak, alamat yang dicuri adalah alamat akun, dan perilaku yang dicuri hanyalah transfer on-chain yang paling dasar.

Di antara banyak transaksi yang dicuri, ** tidak menemukan fitur umum, satu-satunya kesamaan adalah semuanya ditransfer ke alamat kosong (tidak ada transaksi dan tidak ada biaya penanganan sebelum transfer), dan interval antara setiap transaksi juga dalam beberapa menit. Dibutuhkan lebih dari sepuluh menit, dan interval terpendek antara transfer ke alamat yang sama adalah satu menit. Secara kasar dapat dikesampingkan bahwa 'peretas' mencuri koin secara berkelompok melalui skrip atau celah program. **

Interval waktu antara transfer ke alamat yang berbeda juga lama, diduga peretas mungkin telah membuatnya untuk sementara saat mencuri koin, dan mencadangkan kunci pribadi dan informasi lainnya. Ada total 6 alamat yang dicurigai dan 13 mata uang yang dicuri Tidak menutup kemungkinan bahwa seluruh kejadian itu dilakukan oleh banyak orang. **

3. Spekulasi tentang metode peretas dalam mencuri koin

Mengingat berbagai perilaku di atas, kami menduga bahwa peretas telah mencuri koin melalui metode berikut

1. Infiltrasi latar belakang Multichain, dapatkan otoritas seluruh proyek, dan transfer uang ke akun baru Anda sendiri melalui latar belakang.

2. Dengan meretas peralatan pihak proyek, kunci pribadi alamat diperoleh, dan transfer dilakukan langsung melalui kunci pribadi.

3. Operasi internal Multichain, transfer dana, dan keuntungan dengan alasan peretasan. Setelah diserang oleh peretas, Multichain tidak segera mentransfer aset alamat yang tersisa, dan butuh lebih dari sepuluh jam untuk mengumumkan penangguhan layanan Kecepatan respons pihak proyek terlalu lambat. Perilaku peretas yang mentransfer uang juga sangat acak, tidak hanya transfer besar, tetapi juga transfer kecil 2USDT, dan seluruh rentang waktu relatif besar, sehingga sangat mungkin peretas akan menguasai kunci pribadi.

4. Apa masalah keamanan yang dihadapi oleh protokol lintas rantai?

Pada dasarnya, dalam insiden ini, semua orang sekali lagi khawatir tentang keamanan jembatan lintas rantai. Lagi pula, beberapa hari yang lalu, proyek jembatan lintas rantai Poly Network diserang oleh peretas. Lakukan operasi penarikan.

Menurut penelitian tim keamanan Beosin, ditemukan bahwa tantangan keamanan yang dihadapi jembatan lintas rantai adalah sebagai berikut.

**Verifikasi pesan lintas rantai tidak lengkap. **

Ketika protokol lintas rantai memeriksa data lintas rantai, itu harus mencakup alamat kontrak, alamat pengguna, kuantitas, ID rantai, dll. Misalnya, insiden keamanan pNetwork menyebabkan penyerang memalsukan acara Penebusan untuk menarik dana karena alamat kontrak yang tidak diverifikasi dari catatan acara, dan kerugian kumulatif sekitar 13 juta dolar AS

** Kunci pribadi pemverifikasi bocor. **

Saat ini, sebagian besar cross-chain masih mengandalkan verifikator untuk melakukan kesalahan cross-chain, jika kunci pribadi hilang, itu akan mengancam aset seluruh protokol. **Sidechain Ronin kehilangan $600 juta karena empat validator Ronin dan satu validator pihak ketiga dikendalikan oleh penyerang menggunakan rekayasa sosial untuk menarik aset protokol sesuka hati. **

** Penggunaan ulang data tanda tangan. **

Ini terutama berarti bahwa sertifikat penarikan dapat digunakan kembali, dan dana dapat ditarik berkali-kali. ** Insiden keamanan Gnosis Omni Bridge, karena ID Rantai yang dikodekan keras, peretas dapat menggunakan kredensial penarikan yang sama untuk menarik dana terkunci yang sesuai pada rantai bercabang ETH dan rantai ETHW. Kerugian kumulatif sekitar $66 juta**

Oleh karena itu, kami juga menyarankan agar pihak proyek lintas rantai memperhatikan risiko keamanan dan audit keamanan.