Согласно мониторингу рисков безопасности, раннему предупреждению и блокировке платформы Beosin EagleEye, занимающейся аудитом безопасности блокчейна Beosin, 6 июля был атакован межсетевой мост Multichain, в котором задействовано около 126 миллионов долларов США. **
Понятно, что предшественником Multichain является Anyswap, Согласно общедоступной информации, Anyswap была основана в июле 2020 года и изначально позиционировалась как кроссчейн DEX. Однако, основываясь на развитии проекта, Anyswap постепенно сосредоточил свой бизнес на кроссчейн-активах, ослабив транзакционную функцию DEX.
Это не первый раз, когда Multichain подвергается атаке. Хакеры уже несколько раз пытались заполучить этот кроссчейн-проект, но эта атака сбивает с толку.** Согласно деталям транзакций и анализу журнала транзакций в цепочке, кража не исходить из контракта Вместо лазеек, он полон слоев странностей. **
Основная ситуация события
Начиная с 14:21 UTC 6 июля 2023 года, «хакер» начал атаковать мост Multichain, и в течение 3 с половиной часов активы на сумму около 126 миллионов долларов США от Multichain: Fantom Bridge (EOA) и Multichain: Moonriver Bridge (EOA) Посетите следующие 6 адресов, чтобы узнать об осадках:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Обнаружено отслеживание Beosin KYT/AML**, поток украденных средств и временная зависимость следующие:
Согласно записям в цепочке видно, что первоначальная подозрительная транзакция 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 осуществила большое количество переводов активов после транзакции, включая передачу 4 177 590 DAI, 491 656 LINK, 910 654 UNIDX, 1 492 821 USDT, 9 674 426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD на подозрительный адрес 0x9d57***2b68; перевести 27 653 473 USDC на подозрительный адрес 0x027f***5cd8; перевести 30 138 618 USDC на подозрительный адрес 0xefee\ **\ *0c88; перевести 1 023 WBTC на подозрительный адрес 0x622e***7ba0; перевести 7 214 WETH на подозрительный адрес 0x418e***5bb7.
И переведите 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC с моста Multichain Moonriver на подозрительный адрес 0x48Be***4537. Кроме того, 666 470 долларов США были переведены с подозрительного адреса моста Multichain Dogechain 0x55F0***4088 на подозрительный адрес 0x48Be***4537.
Некоторые подозрительные детали этого инцидента безопасности
Согласно деталям транзакции в сети и анализу журнала транзакций, кража монет произошла не из-за лазеек в контракте, украденный адрес был адресом учетной записи, а украденное поведение было лишь самым простым переводом в сети.
Среди множества украденных транзакций ** не нашел общих черт, единственное общее, что все они были переведены на пустые адреса (без транзакции и без платы за обработку перед переводом), а интервал между каждой транзакцией также был в пределах несколько минут Это занимает более десяти минут, а самый короткий интервал между переводами на один и тот же адрес составляет одну минуту Можно примерно исключить, что «хакеры» крадут монеты пачками через скрипты или программные лазейки. **
Временной интервал между переводами на разные адреса также велик, есть подозрение, что хакер мог временно создать его при краже монет, а также сделать резервную копию приватного ключа и другой информации. Всего подозрительных адресов 6 и украденных валют 13. Не исключено, что весь инцидент был совершен несколькими людьми. **
Спекуляции на хакерских методах кражи монет
Принимая во внимание различные варианты поведения, описанные выше, мы предполагаем, что хакеры украли монеты с помощью следующих методов.
Проникнуть в фон Multichain, получить полномочия всего проекта и перевести деньги на свой новый счет через фон.
Путем взлома оборудования проектной стороны получается закрытый ключ адреса, и передача осуществляется напрямую через закрытый ключ.
Внутренняя работа Multichain, перевод средств и прибыль под предлогом взлома. После атаки хакеров Мультичейн не сразу перевел оставшиеся активы адреса, а на объявление о приостановке услуг ушло более десяти часов — скорость ответа проектной стороны была слишком низкой. Поведение хакеров, переводящих деньги, также очень случайно: есть не только крупные переводы, но и небольшие переводы 2USDT, и весь временной интервал относительно большой, поэтому очень вероятно, что хакеры овладеют закрытым ключом.
С какими проблемами безопасности сталкиваются кроссчейн-протоколы?
В основном в этом инциденте все в очередной раз забеспокоились о безопасности кроссчейн бриджа.Ведь буквально несколько дней назад проект кроссчейн бриджа Poly Network подвергся атаке хакеров.Проведите операцию по выводу средств.
Согласно исследованию группы безопасности Beosin, было обнаружено, что проблемы безопасности, с которыми сталкиваются кроссчейн-мосты, заключаются в следующем.
**Кроссчейн проверка сообщений не завершена. **
Когда межсетевой протокол проверяет межсетевые данные, он должен включать адрес контракта, адрес пользователя, количество, идентификатор цепочки и т. д. Например, инцидент с безопасностью pNetwork заставил злоумышленника подделать событие Redeem для вывода средств из-за непроверенного адреса контракта в записи события, а совокупный ущерб составил около 13 миллионов долларов США
**Утечка секретного ключа верификатора. **
В настоящее время большинство кроссчейнов по-прежнему полагаются на верификаторы для выполнения межцепочечных ошибок, и если закрытый ключ будет потерян, это поставит под угрозу активы всего протокола. ** Сайдчейн Ronin потерял 600 миллионов долларов из-за того, что его четыре валидатора Ronin и один сторонний валидатор контролировались злоумышленниками, использующими социальную инженерию для изъятия активов протокола по своему желанию. **
**Повторное использование данных подписи. **
В основном это означает, что сертификат вывода можно использовать повторно, а средства можно выводить несколько раз. ** Инцидент с безопасностью Gnosis Omni Bridge: из-за жестко запрограммированного идентификатора цепочки хакеры могут использовать одни и те же учетные данные для вывода соответствующих заблокированных средств в цепочках разветвлений ETH и ETHW. Совокупные убытки составляют примерно 66 миллионов долларов США**
Поэтому мы также предлагаем, чтобы участники кроссчейн-проекта обращали внимание на риски безопасности и аудиты безопасности.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Анализ дела о хакерской краже Multichain: около $126 млн привлеченных средств
Согласно мониторингу рисков безопасности, раннему предупреждению и блокировке платформы Beosin EagleEye, занимающейся аудитом безопасности блокчейна Beosin, 6 июля был атакован межсетевой мост Multichain, в котором задействовано около 126 миллионов долларов США. **
Понятно, что предшественником Multichain является Anyswap, Согласно общедоступной информации, Anyswap была основана в июле 2020 года и изначально позиционировалась как кроссчейн DEX. Однако, основываясь на развитии проекта, Anyswap постепенно сосредоточил свой бизнес на кроссчейн-активах, ослабив транзакционную функцию DEX.
Это не первый раз, когда Multichain подвергается атаке. Хакеры уже несколько раз пытались заполучить этот кроссчейн-проект, но эта атака сбивает с толку.** Согласно деталям транзакций и анализу журнала транзакций в цепочке, кража не исходить из контракта Вместо лазеек, он полон слоев странностей. **
Начиная с 14:21 UTC 6 июля 2023 года, «хакер» начал атаковать мост Multichain, и в течение 3 с половиной часов активы на сумму около 126 миллионов долларов США от Multichain: Fantom Bridge (EOA) и Multichain: Moonriver Bridge (EOA) Посетите следующие 6 адресов, чтобы узнать об осадках:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Обнаружено отслеживание Beosin KYT/AML**, поток украденных средств и временная зависимость следующие:
Согласно записям в цепочке видно, что первоначальная подозрительная транзакция 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 осуществила большое количество переводов активов после транзакции, включая передачу 4 177 590 DAI, 491 656 LINK, 910 654 UNIDX, 1 492 821 USDT, 9 674 426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD на подозрительный адрес 0x9d57***2b68; перевести 27 653 473 USDC на подозрительный адрес 0x027f***5cd8; перевести 30 138 618 USDC на подозрительный адрес 0xefee\ **\ *0c88; перевести 1 023 WBTC на подозрительный адрес 0x622e***7ba0; перевести 7 214 WETH на подозрительный адрес 0x418e***5bb7.
И переведите 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC с моста Multichain Moonriver на подозрительный адрес 0x48Be***4537. Кроме того, 666 470 долларов США были переведены с подозрительного адреса моста Multichain Dogechain 0x55F0***4088 на подозрительный адрес 0x48Be***4537.
Согласно деталям транзакции в сети и анализу журнала транзакций, кража монет произошла не из-за лазеек в контракте, украденный адрес был адресом учетной записи, а украденное поведение было лишь самым простым переводом в сети.
Среди множества украденных транзакций ** не нашел общих черт, единственное общее, что все они были переведены на пустые адреса (без транзакции и без платы за обработку перед переводом), а интервал между каждой транзакцией также был в пределах несколько минут Это занимает более десяти минут, а самый короткий интервал между переводами на один и тот же адрес составляет одну минуту Можно примерно исключить, что «хакеры» крадут монеты пачками через скрипты или программные лазейки. **
Временной интервал между переводами на разные адреса также велик, есть подозрение, что хакер мог временно создать его при краже монет, а также сделать резервную копию приватного ключа и другой информации. Всего подозрительных адресов 6 и украденных валют 13. Не исключено, что весь инцидент был совершен несколькими людьми. **
Принимая во внимание различные варианты поведения, описанные выше, мы предполагаем, что хакеры украли монеты с помощью следующих методов.
Проникнуть в фон Multichain, получить полномочия всего проекта и перевести деньги на свой новый счет через фон.
Путем взлома оборудования проектной стороны получается закрытый ключ адреса, и передача осуществляется напрямую через закрытый ключ.
Внутренняя работа Multichain, перевод средств и прибыль под предлогом взлома. После атаки хакеров Мультичейн не сразу перевел оставшиеся активы адреса, а на объявление о приостановке услуг ушло более десяти часов — скорость ответа проектной стороны была слишком низкой. Поведение хакеров, переводящих деньги, также очень случайно: есть не только крупные переводы, но и небольшие переводы 2USDT, и весь временной интервал относительно большой, поэтому очень вероятно, что хакеры овладеют закрытым ключом.
В основном в этом инциденте все в очередной раз забеспокоились о безопасности кроссчейн бриджа.Ведь буквально несколько дней назад проект кроссчейн бриджа Poly Network подвергся атаке хакеров.Проведите операцию по выводу средств.
Согласно исследованию группы безопасности Beosin, было обнаружено, что проблемы безопасности, с которыми сталкиваются кроссчейн-мосты, заключаются в следующем.
**Кроссчейн проверка сообщений не завершена. **
Когда межсетевой протокол проверяет межсетевые данные, он должен включать адрес контракта, адрес пользователя, количество, идентификатор цепочки и т. д. Например, инцидент с безопасностью pNetwork заставил злоумышленника подделать событие Redeem для вывода средств из-за непроверенного адреса контракта в записи события, а совокупный ущерб составил около 13 миллионов долларов США
**Утечка секретного ключа верификатора. **
В настоящее время большинство кроссчейнов по-прежнему полагаются на верификаторы для выполнения межцепочечных ошибок, и если закрытый ключ будет потерян, это поставит под угрозу активы всего протокола. ** Сайдчейн Ronin потерял 600 миллионов долларов из-за того, что его четыре валидатора Ronin и один сторонний валидатор контролировались злоумышленниками, использующими социальную инженерию для изъятия активов протокола по своему желанию. **
**Повторное использование данных подписи. **
В основном это означает, что сертификат вывода можно использовать повторно, а средства можно выводить несколько раз. ** Инцидент с безопасностью Gnosis Omni Bridge: из-за жестко запрограммированного идентификатора цепочки хакеры могут использовать одни и те же учетные данные для вывода соответствующих заблокированных средств в цепочках разветвлений ETH и ETHW. Совокупные убытки составляют примерно 66 миллионов долларов США**
Поэтому мы также предлагаем, чтобы участники кроссчейн-проекта обращали внимание на риски безопасности и аудиты безопасности.