比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XRP > Info

?DAOrayaki |0xhabitat Multisig 被盜取事件分析_SAFE

Author:

Time:1900/1/1 0:00:00

分析:0xhabitatMultisig被盜取

一位GnosisSafe用戶遭遇了嚴重且復雜的網絡釣魚攻擊,導致該項目的Multisig被抽干。

重要提示:我們當前的分析表明,這是針對特定GnosisSafe用戶的針對性攻擊,我們沒有跡象表明此攻擊還會影響任何其他用戶。該攻擊也沒有利用任何智能合約漏洞,而是使用網絡釣魚技術讓Multisig所有者簽署惡意交易。

這篇博文旨在闡明0xhabitat事件并詳細說明從中學到的東西。為了使這份事故報告完全客觀,我們只包含了我們在鏈上和通過我們的后端收集的第一手數據。可以在此處閱讀0xhabitat團隊的觀點。首先,讓我們從分析發生的事情開始……

特洛伊木馬

本次事件的主要來源是兩個模仿以下官方GnosisSafe智能合約的惡意合約:

SafeSingleton:這是核心邏輯合約。每個Safe都是指向特定SafeSingleton的代理合約。Safes可以由其用戶升級以指向一個新的Singleton,例如添加功能。

Hut 8 Mining 11生產238枚比特幣,持有總量達到8925枚比特幣:金色財經報道,北美數字礦企Hut 8 Mining發布11月生產和運營最新情況,截至11月30日,生產了238個比特幣,平均每天生產約7.9個比特幣,自采持有總量達到8925個比特幣。安裝的ASIC hashrate能力提高到3.27 EH/s,其中2.44 EH/s在北部灣采礦設施暫停采礦活動后可用于運營。(prnewswire)[2022/12/5 21:24:00]

SafeMultisend:這是一種中介智能合約,使Safes能夠將多個交易合并為一個。

在本文中,惡意合約將被稱為EvilSingleton和EvilMultisend。EvilMultisend合約于11月23日在此地址部署。合約的特殊之處在于,它不僅允許批量交易,還可以在同一筆交易中更改Safe的Singleton。同一天,EvilSingleton被部署在這個地址。EvilSingleton充當特洛伊木馬程序,最初將所有交互轉發到原始Singleton,但有一個后門,使第三方能夠訪問Safe。

這是一個陷阱!

0xhabitat的故事開始于EvilMultisend合約部署后幾個小時。在與EvilMultisend合約交互的0xhabitatMultisig中提出了一項交易。對于所有相關方來說,它看起來就像是使用TransactionbuilderSafeApp進行的常規批量交易。然而,這是一個精心設計的交易,乍一看,它看起來像一個普通的Multisend交易,但實際上,它也將Safe的Singleton更新為EvilSingleton。

菲律賓央行新批準兩家數字銀行,目前總計6家數字銀行在該國運營:8月24日消息,菲律賓央行已批準Union Digital Bank,Inc.(UDB)和Go Tyme Bank Corporation(GTYME)兩家數字銀行,現在總共允許六家數字銀行在該國運營,其他四家分別是Tonik Digital Bank,Inc.(TONDB)、MayaBank,Inc.(MAYA)、Overseas Filipino Bank,Inc.(OFBDB)和UNO bank,Inc.(UBI)。

2022年1-6月,菲律賓數字銀行處理的電子支付和金融服務交易量達到140萬筆交易,交易額84.5億菲律賓比索(約合1.5億美元)。(Forkast)[2022/8/24 12:45:14]

可以在此處找到有關激活EvilSingleton的更多技術細節。

轉折點

Safe升級到EvilSingleton后,7天內什么都沒有發生。與此同時,0xhabitat金庫逐漸增長到價值100萬美元的數字資產。很明顯,攻擊者在執行實際攻擊之前希望蜜罐變大,希望他們的后門之前沒有被發現。11月30日,攻擊開始。黑客創建了一個交易,激活了EvilSingleton,允許第三方賬戶完全控制保險箱中的資產。

觀點:鏈上交易費用處于“熊市”區間,一旦回升可能就是復蘇信號:8月8日消息,加密貨幣研究機構Glassnode的分析師表示,比特幣活躍地址完全處于“一個明確定義的下行通道”。他們補充說,網絡活動“表明,到目前為止,新需求的流入仍然很少。”但與此同時,交易需求在最近幾周呈橫盤或下降趨勢,這表明“只有交易員和投資者信心較高的基礎仍然存在”。此外,鏈上交易費用處于“熊市”區間,一旦出現回升,可能就是復蘇的信號。

“從歷史上看,2022年的熊市對數字資產領域是不利的,”分析師們在一份報告中寫道,“然而,在經歷了這樣一段持續的避險情緒之后,注意力轉向了這是熊市緩解性反彈,還是持續看漲沖動的開始。”(彭博社)[2022/8/8 12:08:34]

資金被抽干

在EvilSingleton被激活后僅30分鐘,攻擊者就能夠將所有資金提取到他們的賬戶中。隨后,攻擊者通過?Uniswap?和?Sushiswap?將所有資產轉換為?ETH。然后通過多筆交易將生成的ETH發送到?Tornado?Cash合約,這是路徑的終點。

可口可樂在Polygon網絡上推出“驕傲”系列NFT:7月3日消息,可口可樂宣布與RichMinsi合作推出“驕傲”系列(Pride Collection)NFT,作為“國際LGBT驕傲日”慶祝活動的一部分,該系列NFT已上架OpenSea,相關收益將用于慈善。截至目前,可口可樂Pride Collection網站上提供了136個NFT的限量版,本次發行的NFT將在Polygon區塊鏈上鑄造,價格為335 MATIC(約合150美元)。[2022/7/3 1:47:55]

那么,究竟發生了什么?

從我們目前收集到的信息來看,很明顯Multisig中的一個簽名者密鑰被泄露了。這是因為導致后門實施的惡意交易是由Multisig的簽名者根據我們的后端數據提出的。雖然無法準確確定這是如何實現的,但有兩大類事件可能導致了這種情況。

網絡釣魚

有幾種方式可能會誤導所有者,導致其提出導致損害0xhabitatMultisig?安全性的交易。可能的選項包括:

流氓瀏覽器擴展:瀏覽器擴展方便,但也有風險。由于擴展可以自由修改Web應用程序的任何內容。因此,欺詐性瀏覽器擴展程序可能已被用于修改GnosisSafeWeb界面,以欺騙用戶提出惡意交易。

外媒:Babel Finance擬聘請美國投行Houlihan Lokey,或將進行重組:7月1日消息,Babel Finance正在聘請美國投資銀行公司Houlihan Lokey,其全球最大的財務咨詢和債務問題顧問之一。知情人士表示,Babel正在考慮重組,正在簽署一份業務約定書。Babel Finance和Houlihan Lokey均未回應置評請求。

據悉,Houlihan Lokey此前案例包括雷曼和安然。(CoinDesk)[2022/7/2 1:45:35]

惡意接口:如此文所述,GnosisSafe的安全性取決于用于與帳戶交互的接口的完整性。受影響的0xhabitat用戶可能已經與模仿官方GnosisSafe界面的界面進行了交互,但通過將常規交易的目標地址更改為EvilMultisend合約來有效地創建惡意交易。

供應鏈攻擊/受損網站:雖然問題的根源可能是對官方GnosisSafe軟件的惡意收購,但我們目前的評估表明情況并非如此。所有信號都表明這是對0xhabitatMultisig的針對性攻擊,而不是官方GnosisSafe界面的普遍問題。但是,我們也在繼續調查和觀察這方面的情況。

惡意所有者

第二個假設選項是所有者沒有被誘騙提出惡意交易,而是自愿提出的。Multisig中的兩個簽名者之一欺騙另一方簽署欺詐性交易,導致Multisig遭到破壞。我們沒有理由懷疑0xhabitat團隊的完整性。但是為了在我們的分析中進行徹底的分析,我們仍然必須考慮這是對事件的可行解釋。

GnosisSafe團隊的經驗教訓

在我們仍在分析此事件的同時,我們已經立即采取了一些措施來減輕未來的類似攻擊。所有這些更改都作為修補程序實施。

暴露multisend地址

為了能夠驗證交易中使用了哪個multisend合約,SafeWebUI顯式顯示了multisend合約地址。閱讀詳情。

交易詳細信息顯示完整的Multisend合約地址以供驗證

防止解碼未知的multisend交易

我們對解碼機制進行了更改,以僅解碼通過官方multisend實現觸發的multisend交易。這使得交易與未知合同的交互變得清晰起來。

標記意外的委托調用

當交易使用委托調用與我們未知的合約時,我們添加了一個明確的警告。這是我們讓用戶意識到交易需要特別注意的另一種方式。

通過Gnosis未知的合約發起的委托調用被標記

給GnosisSafe用戶的建議

雖然我們的目標是建立安全機制以防止將來發生此類情況,但在與GnosisSafe交互時提醒GnosisSafe用戶在操作安全方面的實踐也很重要。

驗證接口完整性:惡意接口可以通過欺騙共同簽名者簽署惡意交易來危及Multisig的整個安全性。如果您使用GnosisSafeWeb應用程序,請確保為官方應用程序的鏈接添加書簽并驗證URL和安全證書。或者更好的是,開始使用GnosisSafeDesktop應用程序。

不要只相信一個信息源:我們強烈建議使用額外的獨立客戶端/接口來詳細檢查每筆交易。例如,使用GnosisSafe移動應用程序在簽名前仔細檢查交易。這可以防止單個受損接口誘使用戶簽署惡意交易。

小心DelegateCall:DelegateCall是一個強大的工具,例如,它允許Safes批處理交易。但這也伴隨著巨大的風險。因此,在識別使用DelegateCall的交易時,GnosisSafe用戶應該特別注意。驗證交易數據時,請驗證使用了正確的Multisend目標地址。可以在此列表中找到經過Gnosis驗證的Multisend實現。

減少瀏覽器擴展的使用:雖然方便,但瀏覽器擴展可能成為關鍵的攻擊媒介,甚至可以欺騙最高級的用戶。我們通常建議不要在用于與GnosisSafeWeb應用程序交互的瀏覽器中使用任何瀏覽器擴展。

NexusMutual的創始人?HughKarp也遭受了利用惡意瀏覽器擴展的攻擊

結論

為個人和組織構建合適的工具以在Web3中保持安全是我們使命的核心。這就是為什么我們很遺憾聽到0xhabitat團隊資金被盜的原因。我們希望團隊和社區從這種不幸的情況中一切順利,并希望最終能確定攻擊者并退還資金。

參考資料

https://etherscan.io/address/0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

https://etherscan.io/address/0x09afae029d38b76a330a1bdee84f6e03a4979359

https://bafybeiat2xp7cicrlpq3h57wdnz4pzaoby2cx62c3lprh3lzgrworcitly.ipfs.infura-ipfs.io/Exploit_Info.pdf

https://blog.gnosis.pm/the-impact-of-phishing-on-web-3-0-a62385c81310

https://github.com/gnosis/safe-react/issues/3091

https://github.com/gnosis/safe-react/issues/3090

來源:金色財經

Tags:SAFEULTIULTMULTISAFEARN幣Binance Multi-Chain CapitalThe VaultMulti Wallet Suite

XRP
3H互鏈藉由DeFi大大降低用戶風險,且讓Defi應用更加多元!_DEF

許多傳統金融機構公司都將工具朝向DeFi發展,利用區塊鏈的技術,解決身分認證麻煩問題以及因中介機構參與所產生的支出成本,DeFi目標就是達到金融交易的完全去中心化.

1900/1/1 0:00:00
大跌之后最有優勢反彈的幣種、全在這里了_區塊鏈

波卡 該代幣的交易價格為29.4美元,全球市值為290億美元。Polkadot打算通過構建連接多個區塊鏈的加密貨幣網絡來統一它們.

1900/1/1 0:00:00
Dapponline項目推薦第十五期?_MERC

DappOnline是一個定位全球范圍的區塊鏈應用商店,致力于構建一整套健康可持續發展的區塊鏈生態.

1900/1/1 0:00:00
XRdoge 打造瑞波生態自己的 Meme 和去中心化交易所_MEM

去年,埃隆·馬斯克在推特上寫道:“如果一個加密網絡,將區塊時間加快?10?倍,區塊大小增加?10?倍,費用降低?100?倍。那它就贏了.

1900/1/1 0:00:00
零寬字符對ENS的影響 或比你想象的更大_WEB

昨日,一位資深的Web2.0域名交易者「Hero桀」在其個人Mirror上發表了一篇名為《請停止注冊一切ENS域名,因為它一文不值》的文章.

1900/1/1 0:00:00
上線各大所的波卡生態智能合約平臺Moonbeam (GLMR)有潛力嗎_MOO

大家好,我是團子,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.

1900/1/1 0:00:00
ads