比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 屎幣 > Info

環環相扣 —— Gnosis Safe Multisig 用戶被黑分析_MULTI

Author:

Time:1900/1/1 0:00:00

By:Victory@慢霧安全團隊

2021年12?3?,據慢霧區情報,?位GnosisSafe?戶遭遇了嚴重且復雜的?絡釣?攻擊。慢霧安全團隊現將簡要分析結果分享如下。

相關信息

攻擊者地址1:

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻擊者地址2:

0x26a76f4fe7a21160274d060acb209f515f35429c

惡意邏輯實現合約ETH地址:

0x09afae029d38b76a330a1bdee84f6e03a4979359

惡意合約ETH地址MultiSendCallOnly合約:

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

數據:價值超5000萬美元GLMR、APT、IMX、FLOW代幣將于本周解鎖:7月10日消息,據Token Unlocks數據顯示,本周GLMR、APT、IMX、FLOW代幣將迎來大額比例解鎖,總計逾5030.5萬美元:Moonbeam代幣GLMR將于7月10日08:00解鎖約304萬枚(約74.5萬美元),占總供應量的0.45%;Aptos代幣APT將于7月12日08:00解鎖454萬枚(約3244萬美元),占總供應量的2.16%;ImmutableX代幣IMX將于7月15日18:00解鎖1808萬枚(約1272萬美元),占總供應量的1.74%;Flow代幣FLOW將于7月16日08:00解鎖729萬枚(約440萬美元),占總供應量的0.7%。[2023/7/10 10:12:35]

受攻擊的代理合約地址:

0xc97f82c80df57c34e84491c0eda050ba924d7429

PEPE市值突破12億美元 24小時交易量近8億美元:金色財經報道,行情數據顯示,Meme幣Pepe(PEPE)過去24小時漲幅為74.7%,現報價0.00000283美元,幣價創歷史新高。行情波動較大,請做好風險控制。此外,據CoinGecko數據顯示,PEPE總市值目前為1,264,145,312美元,24小時交易額為792,207,003美元。[2023/5/5 14:45:14]

邏輯合約地址:

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall合約ETH地址:

0x40a2accbd92bca938b02010e17a5b8929b49130d

攻擊交易:

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

消息人士:BlockTower Capital合伙人與亞太區主管已離職:金色財經報道,據兩位知情人士透露,普通合伙人Michael Bucella最近離開了BlockTower Capital。與此同時,該公司投資總監兼亞太區主管Steve Lee的LinkedIn資料顯示,他已于9月份離職。

Bucella和Lee分別于2017年和2018年從投資銀行高盛(Goldman Sachs)加入BlockTower。[2023/2/22 12:21:08]

攻擊步驟

第一步:攻擊者先是在9天前部署了惡意MultiSendCall,并且驗證了合約代碼讓這個攻擊合約看起來像之前真正的MultiSendCall。

阿根廷石油子公司 YPF Luz 用殘余氣體為比特幣采礦活動提供動力:金色財經報道,YPF Luz 是阿根廷國家石油公司 YPF 的子公司,目前正在試點一個項目,用殘余氣體為比特幣采礦業務提供動力。該計劃目前正在該國最大的油田之一 Vaca Muerta 進行測試,旨在利用油井鉆探初期階段的這種副產品。[2022/10/5 18:39:44]

第二步:攻擊者通過釣??段構造了?個指向惡意地址calldata數據讓?戶進?簽名。calldata??正確的to地址應該是?0x40a2accbd92bca938b02010e17a5b8929b49130d,現在被更改成了惡意合約?ETH地址?MultiSendCallOnly合約0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

韓國檢方在調查Terra事件中已結束對加密交易所扣押搜查,將對扣押材料進行全面分析:7月28日消息,韓國首爾南區檢察院金融證券犯罪聯合調查組于本月20日至27日完成了對部分交易所的搜查扣押令的執行。檢方官員解釋說:“調查所需的交易所數據的取證工作花費了很長時間。”通過此次扣押搜查,檢察機關獲得了Terraform Labs首席執行官Do Kwon以及Terraform Labs聯合創始人、TMON聯合創始人Daniel Shin等人的交易明細和算法穩定幣的開發過程、資金流向相關的資料。在完成搜查和扣押后,檢方開始對扣押的材料進行全面分析,相關人士的傳喚仍在繼續。

此前消息,韓國檢方發出Do Kwon“入境時通報”通知并勒令Terraform高管禁止出境,檢方也正討論與國際刑警組織合作發布紅色通緝令以引渡Do Kwon的可能性。(韓聯社)[2022/7/28 2:42:45]

由于攻擊者獲取的簽名數據是正確的,所以通過了驗證多簽的階段,之后就開始執?了攻擊合約的multiSend函數

這時候通過查看攻擊合約我們發現此處的修飾器Payable有賦值的情況存在。這時候我們通過對源碼的反編譯發現:

當payment.version<VERSION這個條件觸發的時候每次調?的時候都會對storage進?重新賦值。這個storage是不是特別眼熟?沒錯我們來看下Proxy合約。

當這筆交易執?完畢時Proxy的storage已經變成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于Proxy合約執?的邏輯合約地址masterCopy是從storage讀取的,所以Proxy指向的邏輯合約會被攻擊者更改為攻擊合約。后續攻擊者只需等待?戶把?夠的代幣放?此合約,之后構造轉賬函數把錢取?即可。

我們分析了受攻擊的合約的交易記錄后,發現該攻擊者?常狡猾。

攻擊者為了避免被發現,在攻擊合約中的邏輯中還實現了保證?戶依然能正常使?相關的功能。

反編譯攻擊者的邏輯合約發現,在攻擊合約的邏輯保證了攻擊者動?前?戶都可以正常使?多簽功能。只有當攻擊者??調?的時候才會繞過驗證直接把?戶的錢取?。

MistTrack分析

經MistTrack反洗錢追蹤系統分析發現,攻擊者地址1在11?23號開始籌備,使?混幣平臺Tornado.Cash獲得初始資?0.9384ETH,在?分鐘后部署了合約,然后將0.8449ETH轉到了攻擊者地址2。

攻擊成功后,攻擊者地址2通過Uniswap、Sushiswap將獲利的HBT、DAI等代幣兌換為ETH,最后將56.2ETH轉到混幣平臺TornadoCash以躲避追蹤。

總結

本次攻擊先是使?了釣??段獲取了?戶的?次完整的多簽數據,在利?了delegatecall調?外部合約的時候,如果外部合約有對數據進?更改的操作的話,會使?外部合約中變量存儲所在對應的slot位置指向來影響當前合約同?個slot的數據。通過攻擊合約把代理合約指向的邏輯指向??的攻擊合約。這樣就可以隨時繞過多簽把合約的錢隨時轉?。

經過分析本次的事件,?概率是?客團隊針對GnosisSafeMulti-sig應?的?戶進?的釣?攻擊,0x34cfac64這個正常的邏輯合約是GnosisSafe官?的地址,攻擊者將這個地址硬編碼在惡意合約中,所以這?系列的操作是適?于攻擊所有GnosisSafeMulti-sig應?的?戶。此次攻擊可能還有其他受害者。慢霧安全團隊建議在訪問GnosisSafeMultisig應?的時候要確保是官?的?站,并且在調?之前要仔細檢查調?的內容,及早的識別出釣??站和惡意的交易數據。

Tags:MULTIULTULTIETHmulti幣最新消息Vault Hill CityMulticoinetherark

屎幣
Solana鏈上以太坊虛擬機Neon將集成Aleph.im,以實現數據互操作性_SOLA

據Forkast11月23日消息,Solana區塊鏈上的以太坊虛擬機Neon今天宣布,將集成跨鏈計算網絡和去中心化索引提供商Aleph.im,以提供Solana鏈上數據.

1900/1/1 0:00:00
瑞士國家郵政局于今日正式發布基于Polygon的加密郵票_LYG

據Bluewin消息,11月25日,瑞士國家郵政局正式發布“加密郵票”,該藏品由實體部分和數字部分NFT組成,對應的NFT共有13種不同的主題,描繪了瑞士的山峰.

1900/1/1 0:00:00
知情人士:印度內閣可能會在本周討論加密法案_ADI

據Finbold援引印度《經濟時報》報道,知情人士表示,印度內閣可能會在本周晚些時候召開會議,討論2021年《加密貨幣和官方數字貨幣法案監管條例》下的數字資產法律框架.

1900/1/1 0:00:00
元宇宙周刊丨NFT被《柯林斯詞典》評為2021年年度詞匯,人民網發文稱理性看待元宇宙_NFT

概述 新的一周,元宇宙行業有了新的變化。元宇宙的熱度還未消退,不管是微軟、Facebook、耐克、騰訊、阿里巴巴等這些國內外鼎鼎有名的巨頭企業,還是那些蹭熱度、炒概念的小公司,都在這場浪潮中摸索.

1900/1/1 0:00:00
美SEC將于12月2日的公開會議上開展關于加密和數字資產的小組討論_SEC

據Cointelegraph消息,11月25日,美國證券交易委員會宣布將于當地時間12月2日的投資者咨詢會議上展開關于題為“在新技術面前.

1900/1/1 0:00:00
證券日報:元宇宙故事有多迷人 投資者就應當有多警惕_區塊鏈

元宇宙已成為近期資本市場最熱的概念之一。本月內漲幅排在前十位的股票中,元宇宙概念股占了兩個席位。11月24日,元宇宙指數創出歷史新高。元宇宙概念股持續火爆,監管問詢也在增多.

1900/1/1 0:00:00
ads