買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > NEAR > Info

ULT:環環相扣 —— Gnosis Safe Multisig 用戶被黑分析_MultiPlanetary Inus

Author:

Time:1900/1/1 0:00:00

By:Victory@慢霧安全團隊

2021年12?3?,據慢霧區情報,?位GnosisSafe?戶遭遇了嚴重且復雜的?絡釣?攻擊。慢霧安全團隊現將簡要分析結果分享如下。

相關信息

攻擊者地址1:

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻擊者地址2:

0x26a76f4fe7a21160274d060acb209f515f35429c

惡意邏輯實現合約ETH地址:

0x09afae029d38b76a330a1bdee84f6e03a4979359

惡意合約ETH地址MultiSendCallOnly合約:

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

Klaytn將構建RWA代幣化支持系統:6月9日消息,韓國互聯網公司 Kakao 旗下區塊鏈平臺 Klaytn 宣布將通過在 RWA(真實資產)代幣化、數字所有權保證和價值創造等方面,將 Klaytn 轉變為未來鏈上世界的公共基礎層。Klaytn 將構建一個 RWA 代幣化支持系統,涵蓋基于代幣的產品開發、代幣發行、資產存儲和交易。[2023/6/9 21:26:25]

受攻擊的代理合約地址:

0xc97f82c80df57c34e84491c0eda050ba924d7429

邏輯合約地址:

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall合約ETH地址:

0x40a2accbd92bca938b02010e17a5b8929b49130d

NBA將在鯨探發行可變化數字藏品:4月8日消息,螞蟻集團旗下鯨探App上架首個可變化數字藏品“NBA季后賽球場盲盒”。該款藏品形態可基于NBA賽事結果變化升級,用戶還可根據鏈上地址在“區塊鏈信息查詢”中查看持有藏品的變化信息。鯨探平臺信息顯示,預計正式發售日期為4月14日和4月16日。

據了解,該款藏品將以4個盲盒的形式對外發售,每個盲盒內含4支進入NBA季后賽球隊的球場模型,4個盲盒共內含16支獲取季后賽資格的球隊。每支球隊藏品發售5000份,球隊對應的數字藏品會跟隨季后賽結果進行升級或者停止升級,具體來說,如果球隊晉級則藏品升級,球隊淘汰則停止升級。

此前4月4日消息,有媒體報道稱鯨探將上架首個可變化數字藏品,并或將探索AIGC戰略。[2023/4/8 13:51:59]

攻擊交易:

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

以太坊L2網絡總鎖倉量為51.6億美元,近7日上漲3.38%:金色財經報道,根據L2BEAT數據,以太坊Layer2上總鎖倉量為51.6億美元,近7日上漲3.38%。其中鎖倉量最高的為ArbitrumOne,達到26.2億美元,占比50.71%;其次是Optimism,鎖倉量為16.1億美元,占比31.3%;第三為dYdX,鎖倉量為4.03億美元,占比7.81%。[2023/1/25 11:29:37]

攻擊步驟

第一步:攻擊者先是在9天前部署了惡意MultiSendCall,并且驗證了合約代碼讓這個攻擊合約看起來像之前真正的MultiSendCall。

馬斯克推特粉絲數量突破1.258億,每24小時增加10萬粉絲:1月16日消息,推特掌舵者、首席執行官埃隆?馬斯克目前的粉絲數量已經超過1.258億。BigTesla在推文中表示:“馬斯克的粉絲數量已經突破1.258億,每24小時增加10萬粉絲”。[2023/1/16 11:14:21]

第二步:攻擊者通過釣??段構造了?個指向惡意地址calldata數據讓?戶進?簽名。calldata??正確的to地址應該是?0x40a2accbd92bca938b02010e17a5b8929b49130d,現在被更改成了惡意合約?ETH地址?MultiSendCallOnly合約0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

Harmony創始人:Horizon被攻擊因私鑰泄露導致,已轉移至更嚴格的多簽:6月26日消息,Harmony創始人stephen tse更新“Harmony與ETH間跨鏈橋Horizon遭到攻擊”事件表示,Horizon平臺上沒有發現任何漏洞的證據,Harmony區塊鏈共識層安全。團隊發現了私鑰被泄露的證據,導致Horizon被攻擊。資金從跨鏈橋的以太坊一側被盜。攻擊者成功訪問和解密其中一些密鑰,其中一些用于簽署未經授權的交易。被盜資產包括BUSD、USDC、ETH和WBTC。自事件發生以來,Harmony已將Horizon橋的以太坊一側遷移到4/5多重簽名(需要5個中的4個)。Harmony將繼續采取措施進一步加強運營和基礎設施安全。

此前報道,Polygon安全研究員發推表示,黑客或通過入侵Horizon bridge熱錢包服務器完成多簽程序。[2022/6/26 1:32:13]

由于攻擊者獲取的簽名數據是正確的,所以通過了驗證多簽的階段,之后就開始執?了攻擊合約的multiSend函數

這時候通過查看攻擊合約我們發現此處的修飾器Payable有賦值的情況存在。這時候我們通過對源碼的反編譯發現:

當payment.version<VERSION這個條件觸發的時候每次調?的時候都會對storage進?重新賦值。這個storage是不是特別眼熟?沒錯我們來看下Proxy合約。

當這筆交易執?完畢時Proxy的storage已經變成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于Proxy合約執?的邏輯合約地址masterCopy是從storage讀取的,所以Proxy指向的邏輯合約會被攻擊者更改為攻擊合約。后續攻擊者只需等待?戶把?夠的代幣放?此合約,之后構造轉賬函數把錢取?即可。

我們分析了受攻擊的合約的交易記錄后,發現該攻擊者?常狡猾。

攻擊者為了避免被發現,在攻擊合約中的邏輯中還實現了保證?戶依然能正常使?相關的功能。

反編譯攻擊者的邏輯合約發現,在攻擊合約的邏輯保證了攻擊者動?前?戶都可以正常使?多簽功能。只有當攻擊者??調?的時候才會繞過驗證直接把?戶的錢取?。

MistTrack分析

經MistTrack反洗錢追蹤系統分析發現,攻擊者地址1在11?23號開始籌備,使?混幣平臺Tornado.Cash獲得初始資?0.9384ETH,在?分鐘后部署了合約,然后將0.8449ETH轉到了攻擊者地址2。

攻擊成功后,攻擊者地址2通過Uniswap、Sushiswap將獲利的HBT、DAI等代幣兌換為ETH,最后將56.2ETH轉到混幣平臺TornadoCash以躲避追蹤。

總結

本次攻擊先是使?了釣??段獲取了?戶的?次完整的多簽數據,在利?了delegatecall調?外部合約的時候,如果外部合約有對數據進?更改的操作的話,會使?外部合約中變量存儲所在對應的slot位置指向來影響當前合約同?個slot的數據。通過攻擊合約把代理合約指向的邏輯指向??的攻擊合約。這樣就可以隨時繞過多簽把合約的錢隨時轉?。

經過分析本次的事件,?概率是?客團隊針對GnosisSafeMulti-sig應?的?戶進?的釣?攻擊,0x34cfac64這個正常的邏輯合約是GnosisSafe官?的地址,攻擊者將這個地址硬編碼在惡意合約中,所以這?系列的操作是適?于攻擊所有GnosisSafeMulti-sig應?的?戶。此次攻擊可能還有其他受害者。慢霧安全團隊建議在訪問GnosisSafeMultisig應?的時候要確保是官?的?站,并且在調?之前要仔細檢查調?的內容,及早的識別出釣??站和惡意的交易數據。

Tags:ETHULTULTIMULTIbeth幣值得買嗎VAULTZMultiPlanetary Inus3KingdomsMultiverse

NEAR
區塊鏈:狄剛:數研所已實現在數字人民幣中積極探索區塊鏈應用_數字金融

來源:數字法幣研究社 “全球已經進入數字化高速融合發展的階段,數字技術的作用已經被全社會廣泛認同,并在金融業得到了迅猛的發展,與之前電子化、信息化、網絡化相比,現已經發展到數字化和智慧化時代.

1900/1/1 0:00:00
區塊鏈:國內區塊鏈政策周報 | 工信部信息技術發展司組織召開區塊鏈產業發展座談會_CTP

中央工信部信息技術發展司組織召開區塊鏈產業發展座談會12月2日,信息技術發展司通過線上視頻方式組織召開區塊鏈產業發展座談會.

1900/1/1 0:00:00
LIU:法國和瑞士央行完成對CBDC的國際結算測試_Peculium

據FinanceMagnates12月9日消息,國際清算銀行、法國銀行和瑞士國家銀行已經結束了央行數字貨幣在金融機構間國際結算中的批發使用的聯合測試研究.

1900/1/1 0:00:00
ELF:掘金元宇宙,Layer1賽道再燃戰火,aelf能乘勢而起?_InfiniityDeFi

1992年,尼爾·斯蒂芬森在科幻小說《雪崩》里寫到:在元宇宙里,哪怕你剛剛起床,你的化身仍然能夠穿著得體、裝扮考究.

1900/1/1 0:00:00
DAO:中國電子報:NFT的盡頭是元宇宙嗎_NFT

原文丨中國電子報 作者丨齊旭 編輯丨連曉東 科幻電影極力渲染,科技巨頭動作頻頻,下一代互聯網——元宇宙的輪廓正在逐漸清晰.

1900/1/1 0:00:00
AIG:百度將發布元宇宙產品希壤,負責人:尚處于初期產業探索階段_元宇宙

來源:澎湃新聞 澎湃新聞記者吳雨欣 百度也要進軍元宇宙產業了。12月10日,百度宣布將于12月27日發布元宇宙產品“希壤”,屆時百度Create2021將在希壤APP舉辦.

1900/1/1 0:00:00
ads