以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

環環相扣 —— Gnosis Safe Multisig 用戶被黑分析_ULT:multi幣價格

Author:

Time:1900/1/1 0:00:00

By:Victory@慢霧安全團隊

2021年12?3?,據慢霧區情報,?位GnosisSafe?戶遭遇了嚴重且復雜的?絡釣?攻擊。慢霧安全團隊現將簡要分析結果分享如下。

相關信息

攻擊者地址1:

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻擊者地址2:

0x26a76f4fe7a21160274d060acb209f515f35429c

惡意邏輯實現合約ETH地址:

0x09afae029d38b76a330a1bdee84f6e03a4979359

惡意合約ETH地址MultiSendCallOnly合約:

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

一套利機器人利用MakerDAO的DssFlash合約借出2億美元的DAI,獲利3.24美元:金色財經報道,據Arkham稱,一套利機器人利用MakerDAO的DssFlash合約,借出了價值2億美元的穩定幣DAI,扣除交易費用后獲利3.24美元。[2023/6/14 21:37:04]

受攻擊的代理合約地址:

0xc97f82c80df57c34e84491c0eda050ba924d7429

邏輯合約地址:

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall合約ETH地址:

0x40a2accbd92bca938b02010e17a5b8929b49130d

攻擊交易:

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

FTX已開始處理巴哈馬客戶提款,取款金額僅占FTX資產的一小部分:11月11日消息,FTX 官方在社交媒體上發文表示:根據巴哈馬總部和監管機構的規定,FTX 已經開始為巴哈馬資金的提款提供便利。因此,用戶可能已經看到 FTX 最近處理了一些提款,該行為遵守了監管機構的規定。提取的金額僅占 FTX 目前手頭資產的一小部分,FTX 正在積極開發其他途徑,以便為其余用戶群提供提款服務。[2022/11/11 12:47:20]

攻擊步驟

第一步:攻擊者先是在9天前部署了惡意MultiSendCall,并且驗證了合約代碼讓這個攻擊合約看起來像之前真正的MultiSendCall。

Compass Point上調比特幣礦企Iris股票評級,其股價上漲近8%:9月14日消息,比特幣礦企Iris Energy(IREN)股價周三大幅上漲,此前研究公司Compass Point將其股票評級從中性上調為買入。

分析師Chase White表示,如果Iris Energy能夠像8月份那樣以低成本獲得額外的計算能力,它就有可能提高其算力,從而提高比特幣產量。White還預計,如果Iris Energy能夠執行其戰略,其股票可以相對于其他小型礦企溢價交易。

截至發稿時,IREN交易價格為4.59美元,上漲近8%。Compass Point的目標價為每股6.50美元。(CoinDesk)[2022/9/15 6:56:44]

第二步:攻擊者通過釣??段構造了?個指向惡意地址calldata數據讓?戶進?簽名。calldata??正確的to地址應該是?0x40a2accbd92bca938b02010e17a5b8929b49130d,現在被更改成了惡意合約?ETH地址?MultiSendCallOnly合約0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

韓國商業銀行KEB Hana Bank將在The Sandbox開設虛擬分行:7月11日消息,The Sandbox宣布與韓國商業銀行KEB Hana Bank達成合作,KEB Hana Bank將在The Sandbox 開設提供基本的銀行服務的虛擬分行,并與The Sandbox的其他合作伙伴一起推動投資業務發展。此外,韓亞金融集團(Hana Financial Group)還將引入包含韓國當地內容的虛擬空間K-verse。[2022/7/11 2:05:26]

由于攻擊者獲取的簽名數據是正確的,所以通過了驗證多簽的階段,之后就開始執?了攻擊合約的multiSend函數

數據:持有至少一個比特幣的地址數量達到了875,799個的歷史新高:金色財經消息,據WatcherGuru發推稱,持有至少一個比特幣的地址數量達到了 875,799 個的歷史新高。[2022/7/3 1:46:46]

這時候通過查看攻擊合約我們發現此處的修飾器Payable有賦值的情況存在。這時候我們通過對源碼的反編譯發現:

當payment.version<VERSION這個條件觸發的時候每次調?的時候都會對storage進?重新賦值。這個storage是不是特別眼熟?沒錯我們來看下Proxy合約。

當這筆交易執?完畢時Proxy的storage已經變成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于Proxy合約執?的邏輯合約地址masterCopy是從storage讀取的,所以Proxy指向的邏輯合約會被攻擊者更改為攻擊合約。后續攻擊者只需等待?戶把?夠的代幣放?此合約,之后構造轉賬函數把錢取?即可。

我們分析了受攻擊的合約的交易記錄后,發現該攻擊者?常狡猾。

攻擊者為了避免被發現,在攻擊合約中的邏輯中還實現了保證?戶依然能正常使?相關的功能。

反編譯攻擊者的邏輯合約發現,在攻擊合約的邏輯保證了攻擊者動?前?戶都可以正常使?多簽功能。只有當攻擊者??調?的時候才會繞過驗證直接把?戶的錢取?。

MistTrack分析

經MistTrack反洗錢追蹤系統分析發現,攻擊者地址1在11?23號開始籌備,使?混幣平臺Tornado.Cash獲得初始資?0.9384ETH,在?分鐘后部署了合約,然后將0.8449ETH轉到了攻擊者地址2。

攻擊成功后,攻擊者地址2通過Uniswap、Sushiswap將獲利的HBT、DAI等代幣兌換為ETH,最后將56.2ETH轉到混幣平臺TornadoCash以躲避追蹤。

總結

本次攻擊先是使?了釣??段獲取了?戶的?次完整的多簽數據,在利?了delegatecall調?外部合約的時候,如果外部合約有對數據進?更改的操作的話,會使?外部合約中變量存儲所在對應的slot位置指向來影響當前合約同?個slot的數據。通過攻擊合約把代理合約指向的邏輯指向??的攻擊合約。這樣就可以隨時繞過多簽把合約的錢隨時轉?。

經過分析本次的事件,?概率是?客團隊針對GnosisSafeMulti-sig應?的?戶進?的釣?攻擊,0x34cfac64這個正常的邏輯合約是GnosisSafe官?的地址,攻擊者將這個地址硬編碼在惡意合約中,所以這?系列的操作是適?于攻擊所有GnosisSafeMulti-sig應?的?戶。此次攻擊可能還有其他受害者。慢霧安全團隊建議在訪問GnosisSafeMultisig應?的時候要確保是官?的?站,并且在調?之前要仔細檢查調?的內容,及早的識別出釣??站和惡意的交易數據。

Tags:ULTETHULTIMULTICult DAOethnographyofcommunicationMulti AImulti幣價格

萊特幣價格
Deland Labs Witter:IC是更好的web3.0和元宇宙的開發平臺_TRADE:DEL

11月30日,在線上直播活動上,DelandLabsWitter表示,IC是更好的web3.0和元宇宙的開發平臺.

1900/1/1 0:00:00
Warpspeed 2021 DFINITY×IAF 黑客松參賽直通車:如何更好的在IC上進行開發_COM:3COMMAS

DFINITY基金會歷經6年研發的InternetComputer主網于2021年5月正式上線,InternetComputer是一種基于新型分散協議構建的全新區塊鏈計算機.

1900/1/1 0:00:00
央行數研所副所長:區塊鏈助力數字金融高質量發展,可從核心技術等八方面破局_區塊鏈:CBD

據中國證券網消息,中國人民銀行數字貨幣研究所副所長狄剛今日在國際金融論壇第18屆全球年會上表示,雖然區塊鏈技術在全球數字金融領域已經拓展了很多應用場景.

1900/1/1 0:00:00
Solana聯合創始人:NFT是社媒網絡未來形態的早期原型_OLA:NFTSOL

據BusinessInsider12月12日消息,Solana聯合創始人AnatolyYakovenko最近在接受采訪時表示,NFT實際上是社交媒體網絡未來形態的早期原型.

1900/1/1 0:00:00
灰度報告:用戶增加10倍后,元宇宙是一個1萬億美元的機會_WEB3.0:web3.0幣龍頭

加密貨幣投資巨頭灰度發布了一份關于看好元宇宙的報告,估計在未來幾年,將元宇宙引入主流的“市場機會”可能價值超過1萬億美元.

1900/1/1 0:00:00
海南將虛擬貨幣“挖礦”活動列為淘汰類產業業,實行差別電價_區塊鏈:人工智能

據南海網12月3日消息,根據國家發改委等11部委出臺的《關于整治虛擬貨幣“挖礦”活動的通知》,為整治虛擬貨幣“挖礦”活動,促進節能減排.

1900/1/1 0:00:00
ads