เมื่อวันที่ 12 ธันวาคม 2023 คีย์ส่วนตัวของผู้ดูแลระบบ OKX DEX Proxy ถูกสงสัยว่ารั่วไหล และผู้โจมตีได้กำไรประมาณ 2.7 ล้านเหรียญสหรัฐ
SharkTeam ดำเนินการวิเคราะห์ทางเทคนิคของเหตุการณ์นี้ทันทีและสรุปข้อควรระวังด้านความปลอดภัย เราหวังว่าโครงการต่อ ๆ ไปจะสามารถเรียนรู้จากสิ่งนี้และร่วมกันสร้างแนวป้องกันความปลอดภัยสำหรับอุตสาหกรรมบล็อคเชน
OKX: สัญญาผู้รวบรวม Dex: 0x70cbb871e8f30fc8ce23609e9e0ea87b6b222f58
สัญญาอัพเกรดพร็อกซี: 0x55b35bf627944396f9950dd6bddadb5218110c76
เจ้าของพร็อกซีผู้ดูแลระบบ: 0xc82Ea2afE1Fd1D61C4A12f5CeB3D7000f564F5C6
สัญญาผู้ดูแลระบบพร็อกซี: 0x3c18F8554362c3F07Dc5476C3bBeB9Fdd6F6a500
ที่อยู่ตัวเริ่มต้นการโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239
ที่อยู่การไหลของเงินทุน 1: 0x1f14e38666cdd8e8975f9acc09e24e9a28fbc42d
ที่อยู่การไหลของเงินทุน 2: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5
สัญญา ProxyMain ที่เป็นอันตราย 1: 0x5c4794d9f34fb74903cfafb3cff6e4054b90c167
ProxyMain ที่เป็นอันตราย สัญญา 2: 0xF36C407F3C467e9364Ac1b2486aA199751BA177D
ผู้สร้างสัญญาพร็อกซีที่เป็นอันตราย: 0x5A58D1a81c73Dc5f1d56bA41e413Ee5288c65d7F
หนึ่งในธุรกรรมการหาประโยชน์: 0x570cf199a84ab93b33e968849c346eb2b761db24b737d44536d1bcb010bca69d
กระบวนการโจมตี:
1. เมื่อเวลา 22:20:35 น. ของวันที่ 12 ธันวาคม 2023 EOA (0x5A58D1a8) ได้สร้างสัญญา ProxyMain (0x5c4794d9)
กระบวนการโจมตี:
1. เมื่อเวลา 22:20:35 น. ของวันที่ 12 ธันวาคม 2023 EOA (0x5A58D1a8) ได้สร้างสัญญา ProxyMain (0x5c4794d9)
2. เมื่อเวลา 22:23:47 น. ของวันที่ 12 ธันวาคม 2023 เจ้าของ Proxy Admin (0xc82Ea2af) ได้อัปเกรดสัญญา DEXProxy เป็นสัญญาดำเนินการใหม่ (0x5c4794d9) ผ่านทาง Proxy Admin (0x3c18F855)
3. เมื่อเวลา 23:52:47 น. ของวันที่ 12 ธันวาคม 2023 EOA (0x5A58D1a8) ได้สร้างสัญญา ProxyMain (0xF36C407F)
4. เมื่อเวลา 23:53:59 น. ของวันที่ 12 ธันวาคม 2023 เจ้าของ Proxy Admin (0xc82Ea2af) ได้อัปเกรดสัญญา DEXProxy เป็นสัญญาดำเนินการใหม่ (0xF36C407F) ผ่านทาง Proxy Admin (0x3c18F855)
5. วัตถุประสงค์ของการอัพเกรดสัญญาทั้งสองนี้เหมือนกัน หน้าที่ของสัญญาใหม่คือการเรียกใช้ฟังก์ชันการเคลมโทเค็นของสัญญา TokenApprove เพื่อดำเนินการโอนให้เสร็จสมบูรณ์
1. เมื่อดำเนินการตามสัญญา ProxyMain ก่อนอื่นให้จำกัดผู้เรียกสัญญาไปยังที่อยู่ของผู้โจมตี (0xFacf375A) จากนั้นจึงดำเนินการฟังก์ชัน ClaimTokens ของสัญญา Dex Aggregator
1. เมื่อดำเนินการตามสัญญา ProxyMain ก่อนอื่นให้จำกัดผู้เรียกสัญญาไปยังที่อยู่ของผู้โจมตี (0xFacf375A) จากนั้นจึงดำเนินการฟังก์ชัน ClaimTokens ของสัญญา Dex Aggregator
2. ในฟังก์ชันการเคลมโทเค็นของสัญญา Dex Aggregator เนื่องจากสัญญายังไม่ได้เปิดแหล่งที่มาบน Etherscan เราจึงได้รับซอร์สโค้ดผ่านการคอมไพล์ ดังที่คุณเห็นจากข้อมูลโค้ด ฟังก์ชัน ClaimTokens จะตรวจสอบว่าตัวแทนเชื่อถือได้หรือไม่ เมื่อผ่านการตรวจสอบแล้ว จะเรียกใช้ฟังก์ชัน OKX DEX: TokenApprove
3. ในฟังก์ชัน OKX DEX: TokenApprove โดยปกติจะตรวจพบว่าผู้โทรเป็นพร็อกซีที่เชื่อถือได้หรือไม่ เช่นเดียวกับการตรวจสอบพร็อกซีที่เชื่อถือได้ครั้งก่อน ตราบใดที่เป็นพร็อกซีที่เชื่อถือได้และผู้ใช้ให้สิทธิ์ TokenApprove ผู้โจมตีสามารถขโมยเงินของผู้ใช้ที่ได้รับอนุญาตได้
การโจมตีและการโอนสินทรัพย์มุ่งเน้นไปที่ที่อยู่สามแห่งต่อไปนี้เป็นหลัก:
ที่อยู่การโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter);
ที่อยู่การชำระเงิน: 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2);
ที่อยู่การชำระเงิน: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)
ในการโจมตีนี้ ที่อยู่การโจมตีจะรับผิดชอบเฉพาะการเรียกใช้ฟังก์ชันการเรียกร้องโทเค็นของสัญญา TokenApprove อย่างต่อเนื่องเพื่อเริ่มต้นการโอนและดำเนินการเรียกเก็บเงินให้เสร็จสิ้นผ่านที่อยู่การชำระเงินสองแห่ง
1. ที่อยู่การโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter) ธุรกรรมในอดีตก่อนเริ่มการโจมตี:
ไหลเข้า:
ไหลออก:
โอน 20419USDT และ 1173USDT ไปที่ 0x4187b2daf33764803714D22F3Ce44e8c9170A0f3 ตามลำดับ และโอนไปที่ 0x7A20 ผ่านที่อยู่ระดับกลาง 0x4A0cF014849702C0c3c46C2df90F0CAd1E504328, Railgun:Relay และที่อยู่กลางหลายรายการ 527ba5a749b3b054a821950Bfcc2C01b959f ที่อยู่นี้มีความถี่ในการถ่ายโอนสูงมูลค่ามากกว่าหนึ่งพันแล้วโอนไปที่ 0x6b8DEfc76faA33EC11006CEa5176B1cec2078DfE ในรูปแบบ มูลค่า 300,000USDT ต่อรายการ จากนั้นโอนที่อยู่หลายแห่งด้วยแท็ก OKX เช่น
0x3D55CCb2a943d88D39dd2E62DAf767C69fD0179F(OKX 23) 0x68841a1806fF291314946EebD0cdA8b348E73d6D(OKX 26)
0xBDa23B750dD04F792ad365B5F2a6F1d8593796f2 (ตกลง X 21)
0x276cdBa3a39aBF9cEdBa0F1948312c0681E6D5Fd (ตกลง X 22)
....
นอกจากนี้ ที่อยู่นี้ยังโอน USDT บางส่วนผ่าน Railgun:Relay และแลกเปลี่ยนเหรียญผ่าน Uniswap
2. ที่อยู่การชำระเงิน 1: 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2):
ไหลเข้า:
การไหลออก:
ผ่าน 4 ที่อยู่:
0xBbEa72B68138B9a1c3fec2f563E323d025510A4c
0x141F12aB25Fcd1c470a2ede34ad4ec49718B5209
0xFD681A9aA555391Ef772C53144db8404AEC76030
0x17865c33e40814d691663bC292b2F77000f94c34
0xFD681A9aA555391Ef772C53144db8404AEC76030
0x17865c33e40814d691663bC292b2F77000f94c34
กระจายเงินทุน จากนั้นใช้ที่อยู่ที่มีป้ายกำกับ Railgun:Relay & Railgun: Treasury เพื่อโอน และสุดท้ายโอน 410204.0USDT ไปยัง BNB Smart Chain ผ่านที่อยู่ที่มีป้ายกำกับ Stargate
3. ที่อยู่การชำระเงิน 2: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)
ผ่านที่อยู่กลาง 0x48E3712C473364814Ac8d87a2A70a9004a42E9a3
โอนเงิน 620,000 USDT ไปที่
0xE8A66A5862Ba07381956449e58999DB541e4DE93
และ 0x8094b97A1663b7b73d6c76811355a734BA6F4A1A,
จากนั้นที่อยู่ทั้งสองนี้ถูกโอนไปยังที่อยู่ใหม่สองแห่งตามลำดับ:
0xB31a2196050A3B861C65f23E180E56eD51cf75D7
และ 0x0C1f0233091D6ed371dC84A0ad1602209bCa429c,
ในที่สุด 617964.77 จะถูกถ่ายโอนไปยัง Avalanche C-Chain ผ่านที่อยู่ที่มีป้ายกำกับว่า Stargate
แฮกเกอร์อาจเปิดบัญชีและทำธุรกรรมในการแลกเปลี่ยนหลายแห่ง เช่น OKX, Gate.io และ MEXC และสามารถดำเนินการรวบรวมหลักฐาน KYC เป้าหมายได้ นอกจากนี้ ที่อยู่การปรับใช้สัญญาโครงการของ Kumo x World ยังมีธุรกรรมการโอนโดยตรงกับแฮกเกอร์ ที่อยู่.
สาเหตุหลักของการโจมตีนี้คือการรั่วไหลของคีย์ส่วนตัวของเจ้าของพร็อกซีผู้ดูแลระบบ (0xc82Ea2af) ซึ่งนำไปสู่การอัปเกรดพร็อกซีที่เป็นอันตรายซึ่งผู้โจมตีใช้งาน เนื่องจากการอัพเกรดสัญญาการดำเนินการที่เป็นอันตรายใหม่ สัญญานี้จึงถูกระบุว่าเป็นพร็อกซีที่เชื่อถือได้ TokenApprove ตรวจพบว่าการดำเนินการตามสัญญาที่เป็นอันตรายนั้นมีความน่าเชื่อถือ ดังนั้นผู้โจมตีจึงสามารถขโมยเงินที่ผู้ใช้อนุญาตให้ TokenApprove มากเกินไปได้ ดังนั้นโปรดตรวจสอบให้แน่ใจว่าได้เก็บคีย์ส่วนตัวของที่อยู่บัญชีที่สำคัญไว้
วิสัยทัศน์ของ SharkTeam คือการรักษาความปลอดภัยให้กับโลกของ Web3 ทีมงานประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์และนักวิจัยอาวุโสจากทั่วโลก ซึ่งมีความเชี่ยวชาญในทฤษฎีพื้นฐานของบล็อคเชนและสัญญาอัจฉริยะ ให้บริการต่างๆ เช่น การวิเคราะห์บิ๊กดาต้าบนเชน คำเตือนความเสี่ยงบนเชน การตรวจสอบสัญญาอัจฉริยะ การกู้คืนสินทรัพย์ crypto และบริการอื่น ๆ และได้สร้างการวิเคราะห์บิ๊กดาต้าบนเชนและแพลตฟอร์มเตือนความเสี่ยง ChainAegis แพลตฟอร์มดังกล่าวรองรับระดับของ การวิเคราะห์กราฟเชิงลึกและสามารถต่อสู้กับ Advanced Persistent Threat (APT) ในโลก Web3 ได้อย่างมีประสิทธิภาพ ได้สร้างความสัมพันธ์ความร่วมมือระยะยาวกับผู้เล่นหลักในด้านต่างๆ ของระบบนิเวศ Web3 เช่น Polkadot, Moonbeam, polygon, Sui, OKX, imToken, ChainIDE เป็นต้น
เว็บไซต์อย่างเป็นทางการ: https://www.sharkteam.org
ทวิตเตอร์: https://twitter.com/sharkteamorg
ดิสคอร์ด: https://discord.gg/jGH9xXCjDZ
โทรเลข: https://t.me/sharkteamorg
ความคิดเห็นทั้งหมด