By:Victory@慢霧安全團隊
2021年12?3?,據慢霧區情報,?位GnosisSafe?戶遭遇了嚴重且復雜的?絡釣?攻擊。慢霧安全團隊現將簡要分析結果分享如下。
相關信息
攻擊者地址1:
0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65
攻擊者地址2:
0x26a76f4fe7a21160274d060acb209f515f35429c
惡意邏輯實現合約ETH地址:
0x09afae029d38b76a330a1bdee84f6e03a4979359
惡意合約ETH地址MultiSendCallOnly合約:
0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea
前SEC官員:加密監管沖擊不會結束:8月13日消息,SEC前互聯網執法負責人John Reed Stark警告說,加密監管的沖擊永遠不會結束。他表示,像Binance和Coinbase這樣的加密交易平臺只是“在玩一場監管套利的短期游戲。這讓一個沒有監管的“后世界末日時代”一樣的市場迅速發展,因此,SEC的加密執法掃蕩永遠不會結束。Stark曾創立SEC互聯網執法辦公室,并擔任主任職位11年。[2023/8/13 16:23:22]
受攻擊的代理合約地址:
0xc97f82c80df57c34e84491c0eda050ba924d7429
邏輯合約地址:
0x34cfac646f301356faa8b21e94227e3583fe3f5f
MultiSendCall合約ETH地址:
0x40a2accbd92bca938b02010e17a5b8929b49130d
星巴克將為符合條件的Odyssey獎勵計劃參與者空投NFT:5月26日消息,星巴克在一封致用戶的電子郵件中表示,準備為 Odyssey 獎勵計劃參與者提供 NFT 空投。空投將面向美國用戶,且參與者必須是星巴克獎勵會員且參與 Odyssey 獎勵計劃。
此前報道,去年 12 月 8 日,星巴克 Web3 平臺 Starbucks Odyssey 測試版正式上線,注冊用戶可通過參與娛樂互動活動以賺取可收藏的數字旅程印章(Journey Stamp)和 Odyssey 積分。[2023/5/26 9:44:48]
攻擊交易:
https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e
攻擊步驟
Aptos v1.2版本將上線主網,新增支持新的整數類型等功能:2與2日消息,據官方消息,Aptos Node v1.2版本將上線主網,新增指數回退(exponential back-off)、支持新的整數類型(u16、u32、u256)、視圖函數、事務參數的編譯時檢查等功能,以及啟用AIP 1、AIP 2、AIP 3、AIP 4治理提案概述的功能。[2023/2/2 11:42:52]
第一步:攻擊者先是在9天前部署了惡意MultiSendCall,并且驗證了合約代碼讓這個攻擊合約看起來像之前真正的MultiSendCall。
第二步:攻擊者通過釣??段構造了?個指向惡意地址calldata數據讓?戶進?簽名。calldata??正確的to地址應該是?0x40a2accbd92bca938b02010e17a5b8929b49130d,現在被更改成了惡意合約?ETH地址?MultiSendCallOnly合約0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。
灰度:由于DeFi的復雜性和資產支持代幣的擴散,ETHW分叉將面臨重大挑戰:金色財經報道,Grayscale Research在其官網上討論了以太坊可能向權益證明的過度,并將理論上的工作量證明ETHW鏈與ETC進行了比較。Grayscale總結稱,由于 DeFi 的復雜性和資產支持代幣的擴散,ETHW 分叉將面臨重大挑戰。雖然預計成功的機會很低,但礦工和交易所已經出現了對 PoW 分叉的一些支持。到目前為止,對 ETHW 代幣的投機導致價格自推出以來穩步下跌超過 50%,而 ETC 的價格上漲了約 9%。
除了對 ETHW 代幣的興趣下降之外,主要的以太坊協議和參與者,例如 Tether 和 Circle,已經表示支持將 ETH PoS 作為規范鏈。這是一個重要的支持跡象,因為這兩家公司負責近 1200億美元的交易。鏈上資產支持的代幣。如果協議發現代幣持有者確實希望在以太坊的 PoW 變體上對協議進行變體,他們很可能會偏愛 ETC,而不是在 ETHW 上復制的鏈上生態系統的復雜性中導航。[2022/8/16 12:28:40]
Galaxy Digital創始人:加密市場相對股市而言更接近底部:6月14日消息,Galaxy Digital HoldingsLtd.創始人兼首席執行官Mike Novogratz在摩根士丹利會議上發言表示:以太坊應該保持在1,000美元左右,現在是1,200美元。比特幣大概在20,000美元至23,000美元區間,我認為加密市場比美國股市更接近底部,股票將再下跌15%到20%。
Mike Novogratz補充表示:我認為現在還不到真正大規模部署資本的時候。我需要看到美聯儲退縮,經濟糟糕到美聯儲不得不停止加息,甚至考慮降息的時候(再行動)。[2022/6/14 4:26:36]
由于攻擊者獲取的簽名數據是正確的,所以通過了驗證多簽的階段,之后就開始執?了攻擊合約的multiSend函數
這時候通過查看攻擊合約我們發現此處的修飾器Payable有賦值的情況存在。這時候我們通過對源碼的反編譯發現:
當payment.version<VERSION這個條件觸發的時候每次調?的時候都會對storage進?重新賦值。這個storage是不是特別眼熟?沒錯我們來看下Proxy合約。
當這筆交易執?完畢時Proxy的storage已經變成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。
由于Proxy合約執?的邏輯合約地址masterCopy是從storage讀取的,所以Proxy指向的邏輯合約會被攻擊者更改為攻擊合約。后續攻擊者只需等待?戶把?夠的代幣放?此合約,之后構造轉賬函數把錢取?即可。
我們分析了受攻擊的合約的交易記錄后,發現該攻擊者?常狡猾。
攻擊者為了避免被發現,在攻擊合約中的邏輯中還實現了保證?戶依然能正常使?相關的功能。
反編譯攻擊者的邏輯合約發現,在攻擊合約的邏輯保證了攻擊者動?前?戶都可以正常使?多簽功能。只有當攻擊者??調?的時候才會繞過驗證直接把?戶的錢取?。
MistTrack分析
經MistTrack反洗錢追蹤系統分析發現,攻擊者地址1在11?23號開始籌備,使?混幣平臺Tornado.Cash獲得初始資?0.9384ETH,在?分鐘后部署了合約,然后將0.8449ETH轉到了攻擊者地址2。
攻擊成功后,攻擊者地址2通過Uniswap、Sushiswap將獲利的HBT、DAI等代幣兌換為ETH,最后將56.2ETH轉到混幣平臺TornadoCash以躲避追蹤。
總結
本次攻擊先是使?了釣??段獲取了?戶的?次完整的多簽數據,在利?了delegatecall調?外部合約的時候,如果外部合約有對數據進?更改的操作的話,會使?外部合約中變量存儲所在對應的slot位置指向來影響當前合約同?個slot的數據。通過攻擊合約把代理合約指向的邏輯指向??的攻擊合約。這樣就可以隨時繞過多簽把合約的錢隨時轉?。
經過分析本次的事件,?概率是?客團隊針對GnosisSafeMulti-sig應?的?戶進?的釣?攻擊,0x34cfac64這個正常的邏輯合約是GnosisSafe官?的地址,攻擊者將這個地址硬編碼在惡意合約中,所以這?系列的操作是適?于攻擊所有GnosisSafeMulti-sig應?的?戶。此次攻擊可能還有其他受害者。慢霧安全團隊建議在訪問GnosisSafeMultisig應?的時候要確保是官?的?站,并且在調?之前要仔細檢查調?的內容,及早的識別出釣??站和惡意的交易數據。
Tags:ETHCALMULTIULTIeth錢包地址靚號生成器ethical的中文諧音MultiverseMulti Wallet Suite
?鏈集市?·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第65?篇作者丨FelixHamilton 圖片丨來源于網絡 世界上的一切都變得越來越數字化。藝術界也開始慢慢循規蹈矩地追上這個新趨勢.
1900/1/1 0:00:00推特創始人JackDorsey領導的支付公司Square周三宣布將更名為Block,新名稱將于12月10日生效,Block仍將在納斯達克以SQ股票代碼交易.
1900/1/1 0:00:00錢多人傻還是精打細算?鏈新原創作者|王晟宇元宇宙地產的價格再創新高。12月8日,《福布斯》報道,香港房地產巨頭新世界發展CEO鄭志剛宣布,他個人已在元宇宙游戲TheSandbox中購買虛擬地產.
1900/1/1 0:00:00隱私計算賽道作為當下的風口賽道,無數企業紛紛涌入,搶跑占道。作為一家專注于隱私計算科普入門的垂直媒體,同時也是針對隱私計算興趣者開放的低門檻入口,我們通過研讀大量行業報告,匯總并分類了隱私計算行.
1900/1/1 0:00:00來源:中國電子報 當下,互聯網紅利見頂、內卷昭然,元宇宙作為新地標矗立在科技變革的最前沿,資本為之狂歡,商界當作盛宴.
1900/1/1 0:00:00據Decrypt援引彭博社11月29日報道,泰國旅游局正在與監管機構和當地加密貨幣交易所合作,以使加密貨幣持有者更容易在該國消費他們的數字資產.
1900/1/1 0:00:00