За даними Beosin EagleEye з моніторингу ризиків безпеки, моніторингу платформи раннього попередження та блокування аудиторської компанії Beosin з безпеки блокчейнів, 6 липня на міжланцюговий мостовий проект Multichain було атаковано близько 126 мільйонів доларів США. **
Зрозуміло, що попередником Multichain є Anyswap. Згідно з відкритою інформацією, Anyswap була заснована в липні 2020 року і спочатку позиціонувалася як крос-чейн DEX. Однак, виходячи з розвитку проекту, Anyswap поступово зосередив свій бізнес на крос-ланцюжкових активах, послаблюючи функцію транзакцій DEX.
Це не перший випадок атаки на Multichain. Хакери вже кілька разів прагнули цього крос-ланцюгового проекту, але ця атака збентежила. **Згідно з деталями транзакцій і аналізом журналу транзакцій у мережі, крадіжка таки не випливає з контракту. Замість лазівок він сповнений шарів незвичайності. **
Основна ситуація події
Починаючи з 14:21 UTC 6 липня 2023 року, «хакер» почав атакувати Multichain bridge, і протягом 3 з половиною годин близько 126 мільйонів доларів США в активах Multichain: Fantom Bridge (EOA) і Multichain: Moonriver Bridge (EOA) Щоб дізнатися про опади, перейдіть за наступними 6 адресами:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Відстеження Beosin KYT/AML** виявило** потік викрадених коштів і часовий зв’язок такі:
Відповідно до записів у ланцюжку можна побачити, що початкова підозріла транзакція 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 здійснила велику кількість передач активів після транзакції, включаючи передачу 4 177 590 DAI, 491 6 56 LINK, 910 654 UNIDX, 1 492 821 USDT, 9 674 426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD на підозрілу адресу 0x9d57***2b68; переказ 27 653 473 USDC на підозрілу адресу 0x027f***5cd8; переказ 30 138 618 USDC на підозрілу адресу 0xefee**\ *0c88; передача 1023 WBTC на підозрілу адресу 0x622e***7ba0; передача 7214 WETH на підозрілу адресу 0x418e***5bb7.
І переведіть 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC з мосту Moonriver компанії Multichain на підозрілу адресу 0x48Be***4537. Крім того, 666 470 доларів США було переведено з передбачуваної адреси мосту Multichain Dogechain 0x55F0***4088 на підозрілу адресу 0x48Be***4537.
Деякі підозрілі частини цього інциденту безпеки
Згідно з деталями транзакцій у ланцюзі та аналізом журналу транзакцій, крадіжка монет не сталася через лазівки в контракті, вкрадена адреса була адресою облікового запису, а вкрадена поведінка була лише найпростішим переказом у ланцюзі.
Серед багатьох вкрадених транзакцій ** не виявив жодної спільної риси. Єдине спільне те, що всі вони були перенесені на порожні адреси (без транзакції та комісії за обробку перед переказом), а також інтервал між кожною транзакцією був у межах кілька хвилин. Це займає більше десяти хвилин, а найкоротший інтервал між переказами на ту саму адресу становить одну хвилину. Можна приблизно виключити, що «хакери» крадуть монети пакетами через скрипти або програмні лазівки. **
Часовий проміжок між переказами на різні адреси також великий.Підозрюється, що хакер міг тимчасово створити його під час крадіжки монет і створив резервну копію закритого ключа та іншої інформації. Всього є 6 підозрюваних адрес і 13 викрадених валют.Не виключено, що весь інцидент був скоєний кількома людьми. **
Спекуляції на хакерських методах крадіжки монет
З огляду на різні способи поведінки вище, ми припускаємо, що хакери вкрали монети за допомогою наступних методів
Проникніть у фоновий режим Multichain, отримайте повноваження всього проекту та переказуйте гроші на свій новий рахунок у фоновому режимі.
Шляхом злому обладнання сторони проекту отримується закритий ключ адреси, а передача здійснюється безпосередньо через закритий ключ.
Внутрішня робота Multichain, переказ коштів і прибуток через виправдання злому. Після атаки хакерів Multichain не передав решту активів адреси відразу, і знадобилося більше десяти годин, щоб оголосити про призупинення послуг.Швидкість відповіді сторони проекту була надто низькою. Поведінка хакерів, які переказують гроші, також дуже випадкова.Існують не лише великі перекази, але й невеликі перекази 2USDT, і весь часовий проміжок є відносно великим, тому дуже ймовірно, що хакери оволодіють закритим ключем.
З якими проблемами безпеки стикаються міжланцюгові протоколи?
По суті, в цьому інциденті всі знову хвилювалися за безпеку крос-ланцюгового мосту. Адже буквально кілька днів тому проект крос-ланцюгового мосту Poly Network був атакований хакерами. Зробіть операцію виведення.
Згідно з дослідженням групи безпеки Beosin, виявлено, що виклики безпеки, з якими стикаються крос-ланцюгові мости, такі.
**Перевірка міжланцюжкового повідомлення не завершена. **
Коли міжланцюговий протокол перевіряє міжланцюгові дані, він повинен містити адресу контракту, адресу користувача, кількість, ідентифікатор ланцюга тощо. Наприклад, інцидент із безпекою pNetwork змусив зловмисника підробити подію Redeem для зняття коштів через неперевірену адресу контракту в записі події, а загальний збиток склав близько 13 мільйонів доларів США
**Закритий ключ верифікатора витік. **
Наразі більшість крос-ланцюжків все ще покладаються на верифікатори для виконання міжланцюжних помилок. Якщо приватний ключ буде втрачено, це загрожуватиме активам усього протоколу. **Сайдчейн Ronin втратив 600 мільйонів доларів через те, що його чотири валідатори Ronin і один сторонній валідатор контролювали зловмисники за допомогою соціальної інженерії для вилучення активів протоколу за бажанням. **
** Повторне використання даних підпису. **
В основному це означає, що сертифікат на зняття коштів можна використовувати повторно, а кошти можна знімати кілька разів. Інцидент із безпекою Gnosis Omni Bridge, через жорстко закодований ідентифікатор ланцюга хакери можуть використовувати ті самі облікові дані для зняття коштів, щоб вивести відповідні заблоковані кошти на роздвоєних ланцюгах ETH і ETHW. Сукупні збитки становлять приблизно 66 мільйонів доларів США
Тому ми також пропонуємо сторонам міжланцюгового проекту звернути увагу на ризики безпеки та перевірки безпеки.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Аналіз справи про крадіжку хакерів Multichain: залучено близько 126 мільйонів доларів
За даними Beosin EagleEye з моніторингу ризиків безпеки, моніторингу платформи раннього попередження та блокування аудиторської компанії Beosin з безпеки блокчейнів, 6 липня на міжланцюговий мостовий проект Multichain було атаковано близько 126 мільйонів доларів США. **
Зрозуміло, що попередником Multichain є Anyswap. Згідно з відкритою інформацією, Anyswap була заснована в липні 2020 року і спочатку позиціонувалася як крос-чейн DEX. Однак, виходячи з розвитку проекту, Anyswap поступово зосередив свій бізнес на крос-ланцюжкових активах, послаблюючи функцію транзакцій DEX.
Це не перший випадок атаки на Multichain. Хакери вже кілька разів прагнули цього крос-ланцюгового проекту, але ця атака збентежила. **Згідно з деталями транзакцій і аналізом журналу транзакцій у мережі, крадіжка таки не випливає з контракту. Замість лазівок він сповнений шарів незвичайності. **
Починаючи з 14:21 UTC 6 липня 2023 року, «хакер» почав атакувати Multichain bridge, і протягом 3 з половиною годин близько 126 мільйонів доларів США в активах Multichain: Fantom Bridge (EOA) і Multichain: Moonriver Bridge (EOA) Щоб дізнатися про опади, перейдіть за наступними 6 адресами:
0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7
0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0
0x027f1571aca57354223276722dc7b572a5b05cd8
0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68
0xefeef8e968a0db92781ac7b3b7c821909ef10c88
0x48BeAD89e696Ee93B04913cB0006f35adB844537
Відстеження Beosin KYT/AML** виявило** потік викрадених коштів і часовий зв’язок такі:
Відповідно до записів у ланцюжку можна побачити, що початкова підозріла транзакція 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 здійснила велику кількість передач активів після транзакції, включаючи передачу 4 177 590 DAI, 491 6 56 LINK, 910 654 UNIDX, 1 492 821 USDT, 9 674 426 WOO, 1 296 990 ICE, 1 361 885 CRV, 134 YFI, 502 400 TUSD на підозрілу адресу 0x9d57***2b68; переказ 27 653 473 USDC на підозрілу адресу 0x027f***5cd8; переказ 30 138 618 USDC на підозрілу адресу 0xefee**\ *0c88; передача 1023 WBTC на підозрілу адресу 0x622e***7ba0; передача 7214 WETH на підозрілу адресу 0x418e***5bb7.
І переведіть 4 830 466 USDC, 1 042 195 USDT, 780 080 DAI, 6 WBTC з мосту Moonriver компанії Multichain на підозрілу адресу 0x48Be***4537. Крім того, 666 470 доларів США було переведено з передбачуваної адреси мосту Multichain Dogechain 0x55F0***4088 на підозрілу адресу 0x48Be***4537.
Згідно з деталями транзакцій у ланцюзі та аналізом журналу транзакцій, крадіжка монет не сталася через лазівки в контракті, вкрадена адреса була адресою облікового запису, а вкрадена поведінка була лише найпростішим переказом у ланцюзі.
Серед багатьох вкрадених транзакцій ** не виявив жодної спільної риси. Єдине спільне те, що всі вони були перенесені на порожні адреси (без транзакції та комісії за обробку перед переказом), а також інтервал між кожною транзакцією був у межах кілька хвилин. Це займає більше десяти хвилин, а найкоротший інтервал між переказами на ту саму адресу становить одну хвилину. Можна приблизно виключити, що «хакери» крадуть монети пакетами через скрипти або програмні лазівки. **
Часовий проміжок між переказами на різні адреси також великий.Підозрюється, що хакер міг тимчасово створити його під час крадіжки монет і створив резервну копію закритого ключа та іншої інформації. Всього є 6 підозрюваних адрес і 13 викрадених валют.Не виключено, що весь інцидент був скоєний кількома людьми. **
З огляду на різні способи поведінки вище, ми припускаємо, що хакери вкрали монети за допомогою наступних методів
Проникніть у фоновий режим Multichain, отримайте повноваження всього проекту та переказуйте гроші на свій новий рахунок у фоновому режимі.
Шляхом злому обладнання сторони проекту отримується закритий ключ адреси, а передача здійснюється безпосередньо через закритий ключ.
Внутрішня робота Multichain, переказ коштів і прибуток через виправдання злому. Після атаки хакерів Multichain не передав решту активів адреси відразу, і знадобилося більше десяти годин, щоб оголосити про призупинення послуг.Швидкість відповіді сторони проекту була надто низькою. Поведінка хакерів, які переказують гроші, також дуже випадкова.Існують не лише великі перекази, але й невеликі перекази 2USDT, і весь часовий проміжок є відносно великим, тому дуже ймовірно, що хакери оволодіють закритим ключем.
По суті, в цьому інциденті всі знову хвилювалися за безпеку крос-ланцюгового мосту. Адже буквально кілька днів тому проект крос-ланцюгового мосту Poly Network був атакований хакерами. Зробіть операцію виведення.
Згідно з дослідженням групи безпеки Beosin, виявлено, що виклики безпеки, з якими стикаються крос-ланцюгові мости, такі.
**Перевірка міжланцюжкового повідомлення не завершена. **
Коли міжланцюговий протокол перевіряє міжланцюгові дані, він повинен містити адресу контракту, адресу користувача, кількість, ідентифікатор ланцюга тощо. Наприклад, інцидент із безпекою pNetwork змусив зловмисника підробити подію Redeem для зняття коштів через неперевірену адресу контракту в записі події, а загальний збиток склав близько 13 мільйонів доларів США
**Закритий ключ верифікатора витік. **
Наразі більшість крос-ланцюжків все ще покладаються на верифікатори для виконання міжланцюжних помилок. Якщо приватний ключ буде втрачено, це загрожуватиме активам усього протоколу. **Сайдчейн Ronin втратив 600 мільйонів доларів через те, що його чотири валідатори Ronin і один сторонній валідатор контролювали зловмисники за допомогою соціальної інженерії для вилучення активів протоколу за бажанням. **
** Повторне використання даних підпису. **
В основному це означає, що сертифікат на зняття коштів можна використовувати повторно, а кошти можна знімати кілька разів. Інцидент із безпекою Gnosis Omni Bridge, через жорстко закодований ідентифікатор ланцюга хакери можуть використовувати ті самі облікові дані для зняття коштів, щоб вивести відповідні заблоковані кошти на роздвоєних ланцюгах ETH і ETHW. Сукупні збитки становлять приблизно 66 мільйонів доларів США
Тому ми також пропонуємо сторонам міжланцюгового проекту звернути увагу на ризики безпеки та перевірки безпеки.