慢霧認為,攻擊主要在于EthCrossChainData合約的keeper被修改,而非私鑰泄漏導致。目前,黑客已開始陸續歸還資金。
撰文:慢霧安全團隊
2021年08月10日,據慢霧區消息,跨鏈互操作協議PolyNetwork遭受黑客攻擊,慢霧安全團隊第一時間介入分析,并將分析結果分享如下。
攻擊背景
PolyNetwork是由Neo、Ontology、Switcheo基金會共同作為創始成員,分布科技作為技術提供方共同發起的跨鏈組織。
如下圖,通過官方的介紹我們可以清楚的看出PolyNetwork的架構設計:用戶可以在源鏈上發起跨鏈交易,交易確認后由源鏈Relayer將區塊頭信息同步至PolyChain,之后由PolyChain將區塊頭信息同步至目標鏈Relayer,目標鏈Relayer將驗證信息轉至目標鏈上,隨后在目標鏈進行區塊頭驗證,并執行用戶預期的交易。
以下是本次攻擊涉及的具體地址:
攻擊核心
源鏈未對發起的跨鏈操作的數據進行檢查。目標鏈未對解析出的目標調用合約以及調用參數進行檢查。EthCrossChainData合約的owner為EthCrossChainManager。bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))可以被hash碰撞。攻擊細節
PolyNetwork會在各個鏈上部署智能合約以便進行跨鏈互操作,其中EthCrossChainManager合約用于驗證PolyChain同步來的區塊頭以確認跨鏈信息的真實。EthCrossChainData合約用于存儲跨鏈數據,中繼鏈驗證人(即Keeper)的公鑰也存儲在這個合約中。LockProxy則用于資產管理。
BlockSec:Quaternion因QTN代幣開發者使用錯誤條件而被黑客攻擊,損失約2.546枚WETH:1月18日消息,BlockSec監測顯示,NFT全棧B2B B2C服務供應商Quaternion因QTN代幣開發者使用錯誤條件而被黑客攻擊,損失約2.546枚WETH。QTN代幣具有通貨膨脹機制,隨著QTN在Uniswap中的交易增多,QTN的總量也會隨之增加。但是,QTN的開發者使用from == UniswapPair來判斷是否有QTN出售,這一錯誤條件是導致此攻擊的根本原因。BlockSec提醒注意,黑客的資金來源似乎來自BSC上的Ankr Exploiter。[2023/1/18 11:19:14]
本次攻擊中,攻擊者分兩步來完成這次攻擊,我們接下來進行詳細分析:
首先攻擊者通過在其他鏈調用crossChain函數構造數據發起跨鏈交易。
我們切入此函數進行分析:
EthCrossChainManager.crossChain
從上圖我們可以清晰的看出,此函數只是用于幫助用戶構造makeTxParam并存儲了構造后的哈希以便后續驗證,其并未對用戶傳入的跨鏈操作參數進行任何限制,因此攻擊者完全可以通過構造任意想構造的數據而讓Relayer毫無防備的將其同步至PolyChain,通過PolyChain將其同步至以太坊Relayer。
隨后在以太坊上的Relayer通過調用EthCrossChainManager合約中
的verifyHeaderAndExecuteTx函數提交區塊頭信息來驗證這筆跨鏈信息的真實性。
本周被黑客攻擊的加密項目Nomad和Slope曾獲Circle投資:金色財經消息,穩定幣發行商Circle旗下風險投資公司曾參投本周被黑客攻擊的兩個加密項目,Nomad和Slope,Circle在2月參與了Slope的800萬美元A輪融資,以及4月份Nomad的2240萬美元的種子輪融資。本周早些時候,跨鏈橋Nomad近2億美元資金被盜走,Solana的600萬美元漏洞利用可能與Slope錢包有關。Circle發言人表示,Circle與Nomad和Slope的關系并未對公司造成任何財務損失。[2022/8/5 12:03:41]
我們切入此函數進行分析:
EthCrossChainManager.verifyHeaderAndExecuteTx
通過上圖代碼我們可以看出其先對區塊頭進行反序列化,以解出所需要驗證的具體信息。隨后調用getCurEpochConPubKeyBytes函數從EthCrossChainData合約中獲取Keeper公鑰,并通過deserializeKeepers函數得到Keeper地址。
接下來將通過ECCUtils.verifySig驗證簽名是否為Keeper,從以下代碼中我們可以發現verifySig函數中會切出簽名者的vrs,并通過ecrecover接口獲取簽名者地址,然后調用containMAddresses函數循環比較簽名者是否為Keeper,只要Keeper簽名數量符合要求即可通過檢查,數量要求即為EthCrossChainManager合約傳入的n-(n-1)/3)。
簽名驗證后會通過ECCUtils.merkleProve進行默克爾根驗證,只要是正常跨鏈操作即可通過此項檢查。隨后會對交易是否重復發送進行檢查并存儲已驗證后的數據。這里只需保證不重復提交即可。
慢霧:Multichain(AnySwap)被黑由于anySwapOutUnderlyingWithPermit函數相關問題:據Multichain(AnySwap)早前消息,2022年01月18日,一個影響6個跨鏈Token的關鍵漏洞正在被利用。慢霧安全團隊進行分析后表示,此次主要是由于anySwapOutUnderlyingWithPermit函數為檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。[2022/1/19 8:57:49]
最后,也是最關鍵的一步,其將通過內部調用_executeCrossChainTx函數執行構造的數據。
從上圖我們可以看出_executeCrossChainTx函數未對傳入的_toContract、_method等參數進行檢查就直接以_toContract.call的方式執行交易。
其中通過鏈上數據我們可以看出EthCrossChainData合約的owner即為EthCrossChainManager合約,而先前我們知道中繼鏈驗證人(即Keeper)的公鑰存在EthCrossChainData合約中,且此合約存在putCurEpochConPubKeyBytes函數可以直接修改Keeper公鑰。
經過以上分析,結果已經很明確了,攻擊者只需在其他鏈通過crossChain正常發起跨鏈操作的交易,此交易目的是為了調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以修改Keeper角色。隨后通過正常的跨鏈流程,Keeper會解析用戶請求的目標合約以及調用參數,構造出一個新的交易提交到以太坊上。這本質上也只是一筆正常的跨鏈操作,因此可以直接通過Keeper檢查與默克爾根檢查。最后成功執行修改Keeper的操作。
流動性協議Visor疑似被黑,合約被緊急提現230 ETH并轉至 Tornado:鏈上期權協議Charm核心開發者通過以太坊區塊鏈瀏覽器發現,基于 Uniswap V3 的 DeFi 流動性協議 Visor Finance 智能合約被緊急提現 230ETH,后資金被轉移至以太坊隱私交易平臺 Tornado.cash。據 CoinGecko 數據顯示,Visor Finance 代幣 VISR 今日下跌已超 60%。(鏈聞)[2021/6/20 23:50:24]
但我們注意到putCurEpochConPubKeyBytes函數定義為
functionputCurEpochConPubKeyBytes(bytescalldatacurEpochPkBytes)externalreturns(bool);
而_executeCrossChainTx函數執行的定義為
abi.encodePacked(bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))
我們可以知道這兩個函數的函數簽名在正常情況下傳入的_method為putCurEpochConPubKeyBytes肯定是完全不同的,因此通過_toContract.call理論上是無法調用到putCurEpochConPubKeyBytes函數的。但_method是攻擊者可以控制的,其完全可以通過枚舉各個字符組合以獲得與調用putCurEpochConPubKeyBytes函數相同的函數簽名,這要求其只需枚舉前4個字節符合即可。我們也可以自己嘗試枚舉驗證,如下所示:
推特被黑事件受害者達388名,多家交易所已把相關比特幣地址列入黑名單:針對“黑客大規模攻擊推特”事件,鏈上數據分析公司 CryptoQuant 在推特分析稱,本次事件共有388名受害者,目前黑客還未將比特幣轉入交易所,但有4.8 枚比特幣已轉至加密混幣器,且Kraken和Bitstamp流入巨大的資金流可能是受恐懼情緒所致。
而針對Twitter被黑問題,OKEx、火幣、抹茶等多家交易平臺都已把相關比特幣地址列入黑名單中,并向用戶做了風險提示。同時,該比特幣地址也已加入監控系統,交易所會對可疑資產進行標記和追蹤。(PANews )[2020/7/16]
可以看出前四個字節與putCurEpochConPubKeyBytes函數是一致的
至此我們就已還原出攻擊者的攻擊細節。
通過解析鏈上數據,我們可以發現攻擊者將Keeper替換為了0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B。
最后攻擊者只需使用替換后的Keeper地址進行簽名即可通過所有檢查執行調用LockProxy合約將其管理的資產轉出。
攻擊流程
攻擊者在源鏈精心構造一筆修改目標鏈Keeper的操作。
利用官方Relayer正常在目標鏈提交數據并執行替換Keeper操作。
攻擊者通過替換后的Keeper地址對其轉出資產的操作進行簽名提交至EthCrossChainManager進行驗證。
驗證Keeper為攻擊者已替換完的地址通過檢查,執行將資產轉移至攻擊者指定地址。
獲利走人。
MistTrack分析過程
慢霧AML團隊分析統計,本次攻擊損失共計超6.1億美元!
具體如下:
資金流向分析
慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現,攻擊者初始的資金來源是門羅幣(XMR)。
然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址,不久后在3條鏈上發動攻擊。
事件梳理
資金情況
BSC上:
黑客地址1,黑客將近1.2億美元的流動性添加到Curve分叉項目EllipsisFinance中,目前仍在做市無異動。Polygon上:
資金無異動。
Ethereum上:
1)黑客地址3,只有一筆轉出13.37ETH到地址0xf8b5c45c6388c9ee12546061786026aaeaa4b682的交易;
2)黑客在Curve上添加了超9706萬美元的流動性。后又撤銷流動性將9638萬枚USDC和67萬枚DAI換成9694萬枚DAI,這筆資金仍停留在地址3。目前,3343萬枚USDT已被Tether凍結。
疑難問答
注:eccm為EthCrossChainManager合約的簡稱,eccd為EthCrossChainData合約的簡稱。
問:為什么keeper能更換成功,合約代碼沒有進行鑒權嗎?
答:eccd合約有進行鑒權,僅允許owner調用putCurEpochConPubKeyBytes更改keeper,因為eccd合約的owner是eccm,所以通過eccm可以更改keeper的值。
問:為什么能簽名一筆更換keeper的交易?
答:因為跨鏈要執行的數據沒有判斷好toContract,所以可能原先的keeper以為是一筆正常的跨鏈交易就簽名了,但是他是一筆更換keeper的交易。
問:為什么能繞過代碼bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))的這個限制,然后執行putCurEpochConPubKeyBytes(bytes)函數?
答:函數簽名用的是keccak-256進行哈希,然后取前面的4bytes,這種情況下是較容易被hash碰撞的。
問:黑客更換keeper的交易如何被舊的keepers簽名?
答:keepers是一個鏈中繼器(Replayer),會對所有正常用戶的跨鏈請求進行簽名。當用戶在BSC上發起跨鏈交易時,keepers會解析用戶請求的目標合約以及調用參數,構造出一個新的交易提交到以太坊上,并在以太坊上用eccm合約調用用戶交易里包含的目標合約。黑客替換keeper的交易本質上也是一筆正常的跨鏈交易,只不過調用的目標合約是eccd合約,調用的參數是更換keeper,所以能被正常簽名。
總結
本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改,而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址,并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。
慢霧AML旗下MistTrack反洗錢追蹤系統將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。此外,特別感謝虎符Hoo、PolyNetwork、火幣Zlabs、鏈聞、WePiggy、TokenPocket錢包、Bibox、歐科云鏈等團隊及許多個人伙伴在合規的前提下及時與慢霧安全團隊同步相關攻擊者信息,為追蹤攻擊者爭取了寶貴的時間。
目前,在多方努力下,黑客開始陸續歸還資金。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
慢霧
慢霧
慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業,通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括:安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品,已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多以太坊
Tags:AINCHAChainHAIPDX BlockchainTurbochainQChain QDTThingschain
尊敬的用戶:?????????????BKEXGlobal即將上線OM,詳情如下:上線交易對:OM/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2021年8月11日.
1900/1/1 0:00:00尊敬的用戶: WBF即將開啟USDT活期理財,具體詳情如下: 認購說明: 1.本次認購僅支持APP端,可在APP端“挖礦寶”-“活期理財”中認購.
1900/1/1 0:00:00尊敬的Bibox用戶:BiboxDeFi創新區將于2021年8月13日(UTC8)上線MakiSwap(MAKI).
1900/1/1 0:00:00據TechWeb8月10日消息,騰訊音樂首批“TME數字藏品”即將上線。今天胡彥斌《和尚》20周年紀念黑膠NFT在QQ音樂平臺開啟購買資格的抽簽預約,限量發售2001張.
1900/1/1 0:00:00為幫助用戶更輕松實現數字資產量化交易,Gate.io量化交易中心全面升級,改名“量化跟單”全新上線,功能及頁面全面升級.
1900/1/1 0:00:008月10日消息,騰訊音樂首批“TME數字藏品”即將上線。今天胡彥斌《和尚》20周年紀念黑膠NFT在QQ音樂平臺開啟購買資格的抽簽預約,限量發售2001張.
1900/1/1 0:00:00