De acordo com o monitoramento de risco de segurança Beosin EagleEye, alerta precoce e monitoramento de plataforma de bloqueio da empresa de auditoria de segurança blockchain Beosin, em 6 de julho, o projeto de ponte cruzada Multichain foi atacado, envolvendo cerca de 126 milhões de dólares americanos. **
Entende-se que o predecessor do Multichain é o Anyswap.De acordo com informações públicas, o Anyswap foi fundado em julho de 2020 e foi originalmente posicionado como um DEX de cadeia cruzada. No entanto, com base no desenvolvimento do projeto, Anyswap gradualmente concentrou seus negócios em ativos cross-chain, enfraquecendo a função de transação do DEX.
Esta não é a primeira vez que o Multichain foi atacado. Este projeto cross-chain foi cobiçado por hackers várias vezes antes, mas este ataque é confuso. **De acordo com os detalhes da transação e a análise do log de transações na cadeia, o roubo não não vem do contrato Em vez de brechas, é cheio de camadas de estranheza. **
Situação básica do evento
A partir das 14h21 UTC de 6 de julho de 2023, o "hacker" começou a atacar a ponte Multichain e, em 3 horas e meia, cerca de 126 milhões de dólares em ativos de Multichain: Fantom Bridge (EOA) e Multichain: Moonriver Bridge (EOA) Vá para os seguintes 6 endereços para precipitação:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
** Rastreamento Beosin KYT/AML**** encontrado ** o fluxo de fundos roubados e a relação de tempo são os seguintes:
De acordo com os registros da cadeia, pode-se verificar que a transação inicial suspeita 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 realizou um grande número de transferências de ativos após a transação, incluindo a transferência de 4.177.590 DAI, 491.656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1.296.990 ICE, 1.361.885 CRV, 134 YFI, 502.400 TUSD para endereço suspeito 0x9d57***2b68; transferir 27.653.473 USDC para endereço suspeito 0x027f***5cd8; transferir 30.138.618 USDC para endereço suspeito 0xefee **\ *0c88; transferir 1.023 WBTC para o endereço suspeito 0x622e***7ba0; transferir 7.214 WETH para o endereço suspeito 0x418e***5bb7.
E transfira 4.830.466 USDC, 1.042.195 USDT, 780.080 DAI, 6 WBTC da ponte Moonriver da Multichain para o endereço suspeito 0x48Be***4537. Além disso, 666.470 USDC foram transferidos do endereço de ponte Multichain Dogechain suspeito 0x55F0***4088 para o endereço suspeito 0x48Be***4537.
Algumas partes suspeitas deste incidente de segurança
De acordo com os detalhes da transação na cadeia e a análise do registro de transações, o roubo de moedas não veio de brechas no contrato, o endereço roubado foi o endereço da conta e o comportamento roubado foi apenas a transferência mais básica da cadeia.
Entre as muitas transações roubadas, ** não encontrou nenhuma característica comum. A única coisa em comum é que todas foram transferidas para endereços em branco (sem transação e sem taxa de manuseio antes da transferência), e o intervalo entre cada transação também estava dentro alguns minutos. Demora mais de dez minutos, e o intervalo mais curto entre as transferências para o mesmo endereço é de um minuto. Pode-se descartar que 'hackers' roubem moedas em lotes por meio de scripts ou brechas no programa. **
O intervalo de tempo entre as transferências para endereços diferentes também é longo. Suspeita-se que o hacker possa tê-lo criado temporariamente ao roubar moedas e feito backup da chave privada e outras informações. Há um total de 6 endereços suspeitos e 13 moedas roubadas. Não está descartado que todo o incidente tenha sido feito por várias pessoas. **
Especulação sobre os métodos dos hackers para roubar moedas
Em vista dos vários comportamentos acima, supomos que os hackers roubaram moedas através dos seguintes métodos
Infiltre-se no fundo do Multichain, obtenha a autoridade de todo o projeto e transfira dinheiro para sua própria conta através do fundo.
Ao hackear o equipamento da parte do projeto, obtém-se a chave privada do endereço, e a transferência é feita diretamente pela chave privada.
Operação interna do Multichain, transferência de fundos e lucro com a desculpa de hacking. Após ser atacada por hackers, a Multichain não transferiu os ativos remanescentes do endereço de imediato, e demorou mais de dez horas para anunciar a suspensão dos serviços.A velocidade de resposta da parte do projeto foi muito lenta. O comportamento dos hackers que transferem dinheiro também é muito aleatório. Não há apenas grandes transferências, mas também pequenas transferências de 2USDT, e todo o intervalo de tempo é relativamente grande, portanto, é muito provável que os hackers dominem a chave privada.
Quais são os problemas de segurança enfrentados pelos protocolos de cadeia cruzada?
Basicamente, neste incidente, todos mais uma vez se preocuparam com a segurança da ponte cross-chain. Afinal, apenas alguns dias atrás, o projeto de ponte cross-chain Poly Network foi atacado por hackers. Faça uma operação de retirada.
De acordo com a pesquisa da equipe de segurança da Beosin, descobriu-se que os desafios de segurança enfrentados pelas pontes de cadeia cruzada são os seguintes.
**A verificação de mensagens entre cadeias está incompleta. **
Quando o protocolo cross-chain verifica os dados cross-chain, ele deve incluir o endereço do contrato, endereço do usuário, quantidade, ID da cadeia, etc. Por exemplo, o incidente de segurança pNetwork fez com que o invasor forjasse o evento Redeem para retirar fundos devido ao endereço de contrato não verificado do registro do evento, e a perda cumulativa foi de cerca de 13 milhões de dólares americanos
**A chave privada do verificador vazou. **
Atualmente, a maioria das cadeias cruzadas ainda depende de verificadores para realizar erros de cadeia cruzada.Se a chave privada for perdida, isso ameaçará os ativos de todo o protocolo. **A sidechain Ronin perdeu $ 600 milhões devido a seus quatro validadores Ronin e um validador terceirizado sendo controlado por invasores usando engenharia social para retirar ativos de protocolo à vontade. **
** Reutilização de dados de assinatura. **
Isso significa principalmente que o certificado de saque pode ser reutilizado e os fundos podem ser sacados várias vezes. Incidente de segurança do Gnosis Omni Bridge, devido ao Chain ID codificado, os hackers podem usar as mesmas credenciais de retirada para retirar os fundos bloqueados correspondentes nas cadeias bifurcadas ETH e ETHW. Perdas acumuladas de aproximadamente US$ 66 milhões
Portanto, também sugerimos que as partes do projeto cross-chain prestem atenção aos riscos de segurança e auditorias de segurança.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Análise do caso de roubo do hacker Multichain: cerca de US$ 126 milhões em fundos envolvidos
De acordo com o monitoramento de risco de segurança Beosin EagleEye, alerta precoce e monitoramento de plataforma de bloqueio da empresa de auditoria de segurança blockchain Beosin, em 6 de julho, o projeto de ponte cruzada Multichain foi atacado, envolvendo cerca de 126 milhões de dólares americanos. **
Entende-se que o predecessor do Multichain é o Anyswap.De acordo com informações públicas, o Anyswap foi fundado em julho de 2020 e foi originalmente posicionado como um DEX de cadeia cruzada. No entanto, com base no desenvolvimento do projeto, Anyswap gradualmente concentrou seus negócios em ativos cross-chain, enfraquecendo a função de transação do DEX.
Esta não é a primeira vez que o Multichain foi atacado. Este projeto cross-chain foi cobiçado por hackers várias vezes antes, mas este ataque é confuso. **De acordo com os detalhes da transação e a análise do log de transações na cadeia, o roubo não não vem do contrato Em vez de brechas, é cheio de camadas de estranheza. **
A partir das 14h21 UTC de 6 de julho de 2023, o "hacker" começou a atacar a ponte Multichain e, em 3 horas e meia, cerca de 126 milhões de dólares em ativos de Multichain: Fantom Bridge (EOA) e Multichain: Moonriver Bridge (EOA) Vá para os seguintes 6 endereços para precipitação:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
** Rastreamento Beosin KYT/AML**** encontrado ** o fluxo de fundos roubados e a relação de tempo são os seguintes:
De acordo com os registros da cadeia, pode-se verificar que a transação inicial suspeita 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 realizou um grande número de transferências de ativos após a transação, incluindo a transferência de 4.177.590 DAI, 491.656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1.296.990 ICE, 1.361.885 CRV, 134 YFI, 502.400 TUSD para endereço suspeito 0x9d57***2b68; transferir 27.653.473 USDC para endereço suspeito 0x027f***5cd8; transferir 30.138.618 USDC para endereço suspeito 0xefee **\ *0c88; transferir 1.023 WBTC para o endereço suspeito 0x622e***7ba0; transferir 7.214 WETH para o endereço suspeito 0x418e***5bb7.
E transfira 4.830.466 USDC, 1.042.195 USDT, 780.080 DAI, 6 WBTC da ponte Moonriver da Multichain para o endereço suspeito 0x48Be***4537. Além disso, 666.470 USDC foram transferidos do endereço de ponte Multichain Dogechain suspeito 0x55F0***4088 para o endereço suspeito 0x48Be***4537.
De acordo com os detalhes da transação na cadeia e a análise do registro de transações, o roubo de moedas não veio de brechas no contrato, o endereço roubado foi o endereço da conta e o comportamento roubado foi apenas a transferência mais básica da cadeia.
Entre as muitas transações roubadas, ** não encontrou nenhuma característica comum. A única coisa em comum é que todas foram transferidas para endereços em branco (sem transação e sem taxa de manuseio antes da transferência), e o intervalo entre cada transação também estava dentro alguns minutos. Demora mais de dez minutos, e o intervalo mais curto entre as transferências para o mesmo endereço é de um minuto. Pode-se descartar que 'hackers' roubem moedas em lotes por meio de scripts ou brechas no programa. **
O intervalo de tempo entre as transferências para endereços diferentes também é longo. Suspeita-se que o hacker possa tê-lo criado temporariamente ao roubar moedas e feito backup da chave privada e outras informações. Há um total de 6 endereços suspeitos e 13 moedas roubadas. Não está descartado que todo o incidente tenha sido feito por várias pessoas. **
Em vista dos vários comportamentos acima, supomos que os hackers roubaram moedas através dos seguintes métodos
Infiltre-se no fundo do Multichain, obtenha a autoridade de todo o projeto e transfira dinheiro para sua própria conta através do fundo.
Ao hackear o equipamento da parte do projeto, obtém-se a chave privada do endereço, e a transferência é feita diretamente pela chave privada.
Operação interna do Multichain, transferência de fundos e lucro com a desculpa de hacking. Após ser atacada por hackers, a Multichain não transferiu os ativos remanescentes do endereço de imediato, e demorou mais de dez horas para anunciar a suspensão dos serviços.A velocidade de resposta da parte do projeto foi muito lenta. O comportamento dos hackers que transferem dinheiro também é muito aleatório. Não há apenas grandes transferências, mas também pequenas transferências de 2USDT, e todo o intervalo de tempo é relativamente grande, portanto, é muito provável que os hackers dominem a chave privada.
Basicamente, neste incidente, todos mais uma vez se preocuparam com a segurança da ponte cross-chain. Afinal, apenas alguns dias atrás, o projeto de ponte cross-chain Poly Network foi atacado por hackers. Faça uma operação de retirada.
De acordo com a pesquisa da equipe de segurança da Beosin, descobriu-se que os desafios de segurança enfrentados pelas pontes de cadeia cruzada são os seguintes.
**A verificação de mensagens entre cadeias está incompleta. **
Quando o protocolo cross-chain verifica os dados cross-chain, ele deve incluir o endereço do contrato, endereço do usuário, quantidade, ID da cadeia, etc. Por exemplo, o incidente de segurança pNetwork fez com que o invasor forjasse o evento Redeem para retirar fundos devido ao endereço de contrato não verificado do registro do evento, e a perda cumulativa foi de cerca de 13 milhões de dólares americanos
**A chave privada do verificador vazou. **
Atualmente, a maioria das cadeias cruzadas ainda depende de verificadores para realizar erros de cadeia cruzada.Se a chave privada for perdida, isso ameaçará os ativos de todo o protocolo. **A sidechain Ronin perdeu $ 600 milhões devido a seus quatro validadores Ronin e um validador terceirizado sendo controlado por invasores usando engenharia social para retirar ativos de protocolo à vontade. **
** Reutilização de dados de assinatura. **
Isso significa principalmente que o certificado de saque pode ser reutilizado e os fundos podem ser sacados várias vezes. Incidente de segurança do Gnosis Omni Bridge, devido ao Chain ID codificado, os hackers podem usar as mesmas credenciais de retirada para retirar os fundos bloqueados correspondentes nas cadeias bifurcadas ETH e ETHW. Perdas acumuladas de aproximadamente US$ 66 milhões
Portanto, também sugerimos que as partes do projeto cross-chain prestem atenção aos riscos de segurança e auditorias de segurança.