欢迎进入Allbet官网。Allbet官网开放Allbet登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

THORChain连遭三击 黑客会是统一个吗?

admin2022-06-07153

USDT线上交易

www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

,

据慢雾 AML 团队剖析统计,THORChain 三次攻击真实损失如下:

2021 年 6 月 29 日,THORChain 遭 “冒充值” 攻击,损失近 35 万美元;

2021 年 7 月 16 日,THORChain 二次遭 “冒充值” 攻击,损失近 800 万美元;

2021 年 7 月 23 日,THORChain 再三遭攻击,损失近 800 万美元。

这不禁让人有了思索:三次攻击的时间云云相近、攻击手法云云相似,背后作案的人会是统一个吗?

慢雾 AML 团队行使旗下 MistTrack 反洗钱追踪系统对三次攻击举行了深入追踪剖析,为人人还原整个事宜的前因后果,对资金的流向一探讨竟。

第一次攻击:“冒充值”破绽

攻击概述

本次攻击的发生是由于 THORChain 代码上的逻辑破绽,即当跨链充值的 ERC20 代币符号为 ETH 时,破绽会导致充值的代币被识别为真正的以太币 ETH,进而可以乐成的将假 ETH 兑换为其他的代币。此前慢雾平安团队也举行了剖析,详见:假币的换脸戏法 —— 手艺拆解 THORChain 跨链系统“冒充值”破绽。

凭证 THORChain 官方宣布的复盘文章[1],此次攻击造成的损失为:

9352.4874282 PERP1.43974743 YFI2437.936 SUSHI10.615 ETH

资金流向剖析

凭证官方提供的黑客地址,慢雾 AML 团队剖析并整理出了攻击者相关的钱包地址情形如下:

经 MistTrack 反洗钱追踪系统剖析发现,攻击者在 6 月 21 号最先筹备,使用匿名兑换平台 ChangeNOW 获得初始资金,然后在 5 天后 (6 月 26 号) 部署攻击合约。

在攻击乐成后,多个赚钱地址都把攻击获得的 ETH 转到混币平台 Tornado Cash 以便逃避追踪,未混币的资金主要是留存在钱包地址 (0xace...d75) 和 (0x06b...2fa) 上。

慢雾 AML 团队统计攻击者赚钱地址上的资金发现,官方的统计遗漏了部门损失:

29777.378146 USDT78.14165727 ALCX11.75154045 ETH0.59654637 YFI

第二次攻击:取值错误导致的 “冒充值” 破绽

攻击概述

凭证剖析发现,攻击者在攻击合约中挪用了 THORChain Router 合约的 deposit 方式,转达的 amount 参数是 0。然后攻击者地址提议了一笔挪用攻击合约的生意,设置生意的 value(msg.value) 不为 0,由于 THORChain 代码上的缺陷,在获取用户充值金额时,使用生意里的 msg.value 值笼罩了准确的 Deposit event 中的 amount 值,导致了 “空手套白狼” 的效果。

凭证 THORChain 官方宣布的复盘文章[2],此次攻击造成的损失为:

2500 ETH57975.33 SUSHI8.7365 YFI171912.96 DODO514.519 ALCX1167216.739 KYL13.30 AAVE

资金流向剖析

慢雾 AML 团队剖析发现,攻击者相关的钱包地址情形如下:

MistTrack 反洗钱追踪系统剖析发现,攻击者地址 (0x4b7...c5a) 给攻击者地址 (0x3a1...031) 提供了初始资金,而攻击者地址 (0x4b7...c5a) 的初始资金来自于混币平台 Tornado Cash 转出的 10 ETH。

新2备用网址

www.122381.com)是一个开放新2网址即时比分、新2网址代理最新登录线路、新2网址会员最新登录线路、新2网址代理APP下载、新2网址会员APP下载、新2网址线路APP下载、新2网址电脑版下载、新2网址手机版下载的新2新现金网平台。新2网址登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

在攻击乐成后,相关地址都把攻击获得的币转到地址 (0xace...70e)。

该赚钱地址 (0xace...70e) 只有一笔转出纪录:通过 Tornado Cash 转出 10 ETH。

慢雾 AML 团队统计攻击者赚钱地址上的资金发现,官方的统计遗漏了部门损失:

2246.6 SUSHI13318.35 DODO110108 KYL243.929 USDT259237.77 HEGIC

第三次攻击:退款逻辑破绽

攻击概述

本次攻击跟第二次攻击一样,攻击者部署了一个攻击合约,作为自己的 router,在攻击合约里挪用 THORChain Router 合约。但差其余是,攻击者这次行使的是 THORChain Router 合约中关于退款的逻辑缺陷,攻击者挪用 returnVaultAssets 函数并发送很少的 ETH,同时把攻击合约设置为 asgard。然后 THORChain Router 合约把 ETH 发送到 asgard 时,asgard 也就是攻击合约触发一个 deposit 事宜,攻击者随意组织 asset 和 amount,同时组织一个不相符要求的 memo,使 THORChain 节点程序无法处置,然后根据程序设计就会进入到退款逻辑。

有趣的是,推特网友把这次攻击生意中的 memo 整理出来发现,攻击者竟喊话 THORChain 官方,示意其发现了多个严重破绽,可以偷取 ETH/BTC/LYC/BNB/BEP20 等资产。

凭证 THORChain 官方宣布的复盘文章[3],此次攻击造成的损失为:

966.62 ALCX20,866,664.53 XRUNE1,672,794.010 USDC56,104 SUSHI6.91 YEARN990,137.46 USDT

资金流向剖析

慢雾 AML 团队剖析发现,攻击者相关的钱包地址情形如下:

MistTrack 反洗钱追踪系统剖析发现,攻击者地址 (0x8c1...d62) 的初始资金泉源是另一个攻击者地址 (0xf6c...747),而该地址 (0xf6c...747) 的资金泉源只有一笔纪录,那就是来自于 Tornado Cash 转入的 100 ETH,而且时间居然是 2020 年 12 月!

在攻击乐成后,攻击者将资金转到了赚钱地址 (0x651...da1)。

总结

通过以上剖析可以发现,三次攻击的初始资金均来自匿名平台 (ChangeNOW、Tornado Cash),说明攻击者有一定的 “反侦探” 意识,而且第三次攻击的生意都是隐私生意,进一步增强了攻击者的匿名性。

从三次攻击涉及的钱包地址来看,没有泛起重合的情形,无法认定是否是统一个攻击者。从资金规模上来看,从第一次攻击到第三次攻击,THORChain 被盗的资金量越来越大,从 14 万美金到近万万美金。但三次攻击赚钱的大部门资金都没有被变现,而且攻击距离时间对照短,慢雾 AML 团队综合各项线索,推理以为有一定的可能性是统一人所为。

停止现在,三次攻击后,攻击者资金留存地址共有余额近 1300 万美元。三次攻击事宜后,THORChain 损失资金超 1600 万美元!

(被盗代币价钱按文章宣布市价钱盘算)

依托慢雾 BTI 系统和 AML 系统中近两亿地址标签,慢雾 MistTrack 反洗钱追踪系统周全笼罩了全球主流生意所,累计服务 50+ 客户,累计追回资产超 2 亿美金。(详见:慢雾 AML 升级上线,为资产追踪再增气力)。针对 THORChain 攻击事宜, 慢雾 AML 团队将连续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒生意所、钱包注重增强地址监控,阻止相关恶意资金流入平台。

网友评论

3条评论
  • 2022-06-07 00:25:47

    周琦这次和新疆队闹翻,遭到不少球迷的指斥。事实从2014年最先,新疆就把周琦从一个新人培育成大魔王,也是费了不少款项和时间,效果现在球队实力削弱,状态低迷,周琦却在面临顶薪续约的情形下,还要坚持离去,还在网上举报新疆男篮违规操作,这样的做法,被不少人以为是不懂感恩。好想知道结局

最新评论