Phân tích vụ đánh cắp của hacker Multichain: khoảng 126 triệu đô la tiền liên quan

Theo giám sát rủi ro bảo mật Beosin EagleEye, cảnh báo sớm và giám sát nền tảng chặn của công ty kiểm toán bảo mật chuỗi khối Beosin, vào ngày 6 tháng 7, dự án cầu nối xuyên chuỗi Multichain đã bị tấn công, gây thiệt hại khoảng 126 triệu đô la Mỹ. **

Tiền thân của Multichain được hiểu là Anyswap.Theo thông tin công khai, Anyswap được thành lập vào tháng 7 năm 2020 và ban đầu được định vị là một DEX chuỗi chéo. Tuy nhiên, dựa trên sự phát triển của dự án, Anyswap đã dần tập trung kinh doanh vào các tài sản chuỗi chéo, làm suy yếu chức năng giao dịch của DEX.

Đây không phải là lần đầu tiên Multichain bị tấn công. Dự án chuỗi chéo này đã từng bị tin tặc thèm muốn vài lần trước đó, nhưng cuộc tấn công này thật khó hiểu ** Theo chi tiết giao dịch và phân tích nhật ký giao dịch trên chuỗi, hành vi trộm cắp đã xảy ra không đến từ hợp đồng Thay vì sơ hở, nó chứa đầy những lớp kỳ lạ. **

  1. Tình huống cơ bản của sự kiện

Bắt đầu từ 14:21 UTC ngày 6 tháng 7 năm 2023, "hacker" bắt đầu tấn công cầu Multichain và trong vòng 3 tiếng rưỡi, khoảng 126 triệu USD tài sản từ Multichain: Fantom Bridge (EOA) và Multichain: Moonriver Bridge (EOA) Đến 6 địa chỉ sau để biết lượng mưa:

0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7

0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0

0x027f1571aca57354223276722dc7b572a5b05cd8

0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68

0xefeef8e968a0db92781ac7b3b7c821909ef10c88

0x48BeAD89e696Ee93B04913cB0006f35adB844537

Theo dõi KYT/AML** của Beosin đã tìm thấy** luồng tiền bị đánh cắp và mối quan hệ thời gian như sau:

Theo hồ sơ trên chuỗi, có thể thấy giao dịch đáng ngờ ban đầu 0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8 đã thực hiện một số lượng lớn chuyển tài sản sau giao dịch, bao gồm chuyển 4.177.590 DAI, 491.656 LINK, 910.654 UNIDX, 1.492.821 USDT, 9.674.426 WOO, 1.296.990 ICE, 1.361.885 CRV, 134 YFI, 502.400 TUSD đến địa chỉ đáng ngờ 0x9d57***2b68; chuyển 27.653.473 USDC đến địa chỉ đáng ngờ 0x027f***5cd8; chuyển 30.138.618 USDC đến địa chỉ đáng ngờ 0xefee\ **\ *0c88; chuyển 1.023 WBTC đến địa chỉ đáng ngờ 0x622e***7ba0; chuyển 7.214 WETH đến địa chỉ đáng ngờ 0x418e***5bb7.

Và chuyển 4.830.466 USDC, 1.042.195 USDT, 780.080 DAI, 6 WBTC từ cầu Moonriver của Multichain đến địa chỉ đáng ngờ 0x48Be***4537. Ngoài ra, 666.470 USDC đã được chuyển từ địa chỉ cầu nối Dogechain đa chuỗi bị nghi ngờ 0x55F0***4088 sang địa chỉ đáng ngờ 0x48Be***4537.

  1. Một số phần đáng ngờ của sự cố bảo mật này

Theo chi tiết giao dịch trực tuyến và phân tích nhật ký giao dịch, hành vi trộm cắp tiền không đến từ các kẽ hở của hợp đồng, địa chỉ bị đánh cắp là địa chỉ tài khoản và hành vi bị đánh cắp chỉ là chuyển khoản trực tuyến cơ bản nhất.

Trong số rất nhiều giao dịch bị đánh cắp, ** không tìm thấy điểm chung nào, điểm chung duy nhất là tất cả đều được chuyển đến địa chỉ trống (không giao dịch và không có phí xử lý trước khi chuyển), và khoảng cách giữa mỗi lần giao dịch cũng trong khoảng thời gian ngắn. một vài phút. Mất hơn mười phút và khoảng thời gian ngắn nhất giữa các lần chuyển đến cùng một địa chỉ là một phút. Có thể loại trừ đại khái rằng 'tin tặc' đánh cắp tiền theo lô thông qua tập lệnh hoặc sơ hở của chương trình. **

Khoảng thời gian giữa các lần chuyển đến các địa chỉ khác nhau cũng dài, người ta nghi ngờ rằng hacker có thể đã tạm thời tạo ra nó khi đánh cắp tiền, sao lưu khóa riêng và các thông tin khác. Có tổng cộng 6 địa chỉ bị tình nghi và 13 đồng tiền bị đánh cắp, không loại trừ khả năng toàn bộ vụ việc do nhiều người thực hiện. **

  1. Suy đoán về phương pháp đánh cắp tiền của tin tặc

Theo quan điểm của các hành vi khác nhau ở trên, chúng tôi đoán rằng tin tặc đã đánh cắp tiền thông qua các phương pháp sau

  1. Xâm nhập vào nền tảng của Multichain, giành quyền quản lý toàn bộ dự án và chuyển tiền vào tài khoản mới của bạn thông qua nền tảng.

  2. Bằng cách hack thiết bị của bên dự án, khóa riêng của địa chỉ sẽ được lấy và việc chuyển tiền được thực hiện trực tiếp thông qua khóa riêng.

  3. Hoạt động nội bộ của Multichain, chuyển tiền và kiếm lợi nhuận thông qua lý do hack. Sau khi bị tin tặc tấn công, Multichain đã không chuyển ngay tài sản còn lại của địa chỉ và phải mất hơn mười giờ để thông báo tạm dừng dịch vụ, tốc độ phản hồi của bên dự án quá chậm. Hành vi chuyển tiền của tin tặc cũng rất ngẫu nhiên, không chỉ có chuyển khoản lớn mà còn có chuyển khoản nhỏ 2USDT, toàn bộ khoảng thời gian tương đối lớn nên rất có khả năng tin tặc sẽ nắm được khóa riêng tư.

  1. Các vấn đề bảo mật mà các giao thức chuỗi chéo gặp phải là gì?

Về cơ bản, trong sự cố này, mọi người lại một lần nữa lo lắng về tính bảo mật của cầu xuyên chuỗi, sau tất cả, chỉ vài ngày trước, dự án cầu xuyên chuỗi Poly Network đã bị tin tặc tấn công và thực hiện thao tác rút tiền.

Theo nghiên cứu của nhóm bảo mật Beosin, người ta thấy rằng những thách thức bảo mật mà cầu nối chuỗi chéo phải đối mặt như sau.

**Xác minh tin nhắn liên chuỗi chưa hoàn tất. **

Khi giao thức chuỗi chéo kiểm tra dữ liệu chuỗi chéo, nó phải bao gồm địa chỉ hợp đồng, địa chỉ người dùng, số lượng, ID chuỗi, v.v. Ví dụ: sự cố bảo mật pNetwork đã khiến kẻ tấn công giả mạo sự kiện Đổi quà để rút tiền do địa chỉ hợp đồng chưa được xác minh của bản ghi sự kiện và thiệt hại tích lũy là khoảng 13 triệu đô la Mỹ

**Khóa riêng của trình xác minh bị rò rỉ. **

Hiện tại, hầu hết các chuỗi chéo vẫn dựa vào trình xác minh để thực hiện các lỗi liên chuỗi, nếu khóa riêng bị mất sẽ đe dọa đến tài sản của toàn bộ giao thức. **Ronin sidechain đã mất 600 triệu đô la do bốn trình xác thực Ronin và một trình xác thực bên thứ ba bị kiểm soát bởi những kẻ tấn công sử dụng kỹ thuật xã hội để rút tài sản giao thức theo ý muốn. **

** Tái sử dụng dữ liệu chữ ký. **

Điều đó chủ yếu có nghĩa là chứng chỉ rút tiền có thể được sử dụng lại và tiền có thể được rút nhiều lần. Sự cố bảo mật Gnosis Omni Bridge, do ID chuỗi được mã hóa cứng, tin tặc có thể sử dụng cùng thông tin xác thực rút tiền để rút số tiền bị khóa tương ứng trên chuỗi phân nhánh ETH và chuỗi ETHW. Khoản lỗ lũy kế khoảng 66 triệu đô la

Do đó, chúng tôi cũng đề xuất rằng các bên tham gia dự án chuỗi chéo nên chú ý đến các rủi ro bảo mật và kiểm toán bảo mật.

Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
  • Phần thưởng
  • Bình luận
  • Chia sẻ
Bình luận
0/400
Không có bình luận
  • Ghim
Giao dịch tiền điện tử mọi lúc mọi nơi
qrCode
Quét để tải xuống ứng dụng Gate
Cộng đồng
Tiếng Việt
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)