THORChain连遭三击 黑客会是同一个吗?_THOR:Ethash Miner

据慢雾AML团队分析统计,THORChain?三次攻击真实损失如下:

2021年6月29日,THORChain遭“假充值”攻击,损失近35万美元;

2021年7月16日,THORChain二次遭“假充值”攻击,损失近800万美元;

2021年7月23日,THORChain再三遭攻击,损失近800万美元。

这不禁让人有了思考:三次攻击的时间如此相近、攻击手法如此相似,背后作案的人会是同一个吗?

慢雾AML?团队利用旗下?MistTrack反追踪系统对三次攻击进行了深入追踪分析,为大家还原整个事件的来龙去脉,对资金的流向一探究竟。

第一次攻击:“假充值”漏洞

攻击概述

本次攻击的发生是由于THORChain代码上的逻辑漏洞,即当跨链充值的ERC20代币符号为ETH时,漏洞会导致充值的代币被识别为真正的以太币ETH,进而可以成功的将假ETH兑换为其他的代币。此前慢雾安全团队也进行了分析,详见:假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞。

根据THORChain官方发布的复盘文章,此次攻击造成的损失为:

9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH

Marathon Digital 6月产出979枚BTC,年初至今已产出5120枚BTC:金色财经报道,比特币矿企Marathon Digital发布未经审计的6月比特币产量与挖矿运营更新数据,2023年6月生产了979枚BTC,比上个月下降21%,比2022年6月增长599%,年初至今已生产5120枚BTC,运营算力提高16%至17.7EH/s,安装算力提高8%至21.8EH/s。与阿布扎比合资企业开始采矿作业,预计年底产量可达7EH/s。

截至2023年6月30日,现金和现金等价物为1.14亿美元,并将BTC持有量增加至12,538枚(约3.82亿美元)。[2023/7/6 22:20:21]

资金流向分析

根据官方提供的黑客地址,慢雾AML团队分析并整理出了攻击者相关的钱包地址情况如下:

经?MistTrack反追踪系统分析发现,攻击者在6月21号开始筹备,使用匿名兑换平台ChangeNOW?获得初始资金,然后在5天后(6月26号)部署攻击合约。

Dune Analytics宣布开源Python库“Harmonizer”并将集成GPT4:4月21日消息,链上数据分析平台Dune Analytics官推宣布开源Python库“Harmonizer”,Harmonizer主要将来自Postgres&Spark的查询转换为DuneSQL,并且大量利用了SQLGlot(一个处理SQL语言的Python库),Dune使用SQLGlot将查询解析成一个Abstract Syntax Tree,然后翻译成DuneSQL,通过自定义规则传递查询以将其匹配到新平台。Dune Analytics还表示目前正致力于集成GPT4,以使Harmonizer更加强大。[2023/4/22 14:19:20]

在攻击成功后,多个获利地址都把攻击获得的ETH转到混币平台TornadoCash?以便躲避追踪,未混币的资金主要是留存在钱包地址(0xace...d75)和(0x06b...2fa)上。

慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:

29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI

DeFi保险项目Nexus Mutual社区提交THORChain保险提案草案:官方消息,DeFi保险项目Nexus Mutual社区提交THORChain保险提案草案,对30%的损失提供保护,最高可达3000万美元,价格有待讨论;以及比例结构,以便其他保险提供商可以加入。[2021/8/16 22:17:42]

第二次攻击:取值错误导致的“假充值”漏洞

攻击概述

根据分析发现,攻击者在攻击合约中调用了THORChainRouter合约的deposit方法,传递的amount参数是0。然后攻击者地址发起了一笔调用攻击合约的交易,设置交易的value(msg.value)不为0,由于THORChain代码上的缺陷,在获取用户充值金额时,使用交易里的msg.value值覆盖了正确的Depositevent中的amount值,导致了“空手套白狼”的结果。

根据THORChain官方发布的复盘文章,此次攻击造成的损失为:

FASTHORSE区块链3D赛马手游发布会正式召开:11月22日,FASTGAME旗下首款区块链模拟经营类3D赛马手游FASTHORSE上线发布会正式召开—“破界而生,梦想启航”。此次启动仪式发布上线了FASTHORSE游戏和FASTEX交易所,并宣布第二款游戏FASTDEGEON已在筹备中。目前FASTHORSE官网现已开放下载通道。[2020/11/22 21:41:23]

2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE

资金流向分析

慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:

MistTrack反追踪系统分析发现,攻击者地址(0x4b7...c5a)给攻击者地址(0x3a1...031)提供了初始资金,而攻击者地址(0x4b7...c5a)的初始资金来自于混币平台TornadoCash转出的10ETH。

动态 | AAX CEO Thor Chen:监管不明确是机构投资者入场的障碍:11月26日18时(伦敦时间),由BlockMania 和中欧金融协会主办的 “Blockchain Enabling Fintech in the New Era”沙龙在英国伦敦举行。AAX CEO Thor Chen受邀出席,并发表了《数字资产的未来趋势与机遇》的主题演讲。Thor认为:当前阶段,监管不明确是阻碍机构投资者在投资组合中增加数字资产类别的主要障碍之一。AAX是由伦敦证券交易所集团技术驱动的数字资产交易平台,机构级别的技术和拥抱监管的合规态度,对于创造适合机构投资者的条件并将资本引入市场至关重要。Thor还在现场发出邀请,诚邀各位行业精英次日共聚伦敦证券交易所集团总部,参加AAX联合伦敦证券交易所集团举办的官方发布会。[2019/11/27]

在攻击成功后,相关地址都把攻击获得的币转到地址(0xace...70e)。

该获利地址(0xace...70e)只有一笔转出记录:通过TornadoCash转出10ETH。

慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:

2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC

第三次攻击:退款逻辑漏洞

攻击概述

本次攻击跟第二次攻击一样,攻击者部署了一个攻击合约,作为自己的router,在攻击合约里调用THORChainRouter合约。但不同的是,攻击者这次利用的是THORChainRouter合约中关于退款的逻辑缺陷,攻击者调用returnVaultAssets函数并发送很少的ETH,同时把攻击合约设置为asgard。然后THORChainRouter合约把ETH发送到asgard时,asgard也就是攻击合约触发一个deposit事件,攻击者随意构造asset和amount,同时构造一个不符合要求的memo,使THORChain节点程序无法处理,然后按照程序设计就会进入到退款逻辑。

(截图来自viewblock.io)

有趣的是,推特网友把这次攻击交易中的memo整理出来发现,攻击者竟喊话THORChain官方,表示其发现了多个严重漏洞,可以盗取ETH/BTC/LYC/BNB/BEP20等资产。

(图片来自https://twitter.com/defixbt/status/1418338501255335937)

根据THORChain官方发布的复盘文章,此次攻击造成的损失为:

966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT

资金流向分析

慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:

MistTrack反追踪系统分析发现,攻击者地址(0x8c1...d62)的初始资金来源是另一个攻击者地址(0xf6c...747),而该地址(0xf6c...747)的资金来源只有一笔记录,那就是来自于TornadoCash转入的100ETH,而且时间居然是2020年12月!

在攻击成功后,攻击者将资金转到了获利地址(0x651...da1)。

总结

通过以上分析可以发现,三次攻击的初始资金均来自匿名平台(ChangeNOW、TornadoCash),说明攻击者有一定的“反侦察”意识,而且第三次攻击的交易都是隐私交易,进一步增强了攻击者的匿名性。

从三次攻击涉及的钱包地址来看,没有出现重合的情况,无法认定是否是同一个攻击者。从资金规模上来看,从第一次攻击到第三次攻击,THORChain被盗的资金量越来越大,从14万美金到近千万美金。但三次攻击获利的大部分资金都没有被变现,而且攻击间隔时间比较短,慢雾AML团队综合各项线索,推理认为有一定的可能性是同一人所为。

截止目前,三次攻击后,攻击者资金留存地址共有余额近1300万美元。三次攻击事件后,THORChain损失资金超1600万美元!

(被盗代币价格按文章发布时价格计算)

依托慢雾BTI系统和AML系统中近两亿地址标签,慢雾MistTrack反追踪系统全面覆盖了全球主流交易所,累计服务50+客户,累计追回资产超2亿美金。(详见:慢雾AML升级上线,为资产追踪再增力量)。针对THORChain攻击事件,?慢雾AML团队将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。

跨链系统的安全性不容忽视,慢雾科技建议项目方在进行跨链系统设计时应充分考虑不同公链不同代币的特性,充分进行“假充值”测试,必要时可联系专业安全公司进行安全审计。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-7:182ms