UXLINK bị đánh cắp khoảng 11,3 triệu đô la: Phân tích kỹ thuật

Tiêu đề gốc: "UXLINK bị đánh cắp: Phân tích kỹ thuật khoảng 11,3 triệu đô la"
Nguồn gốc: ExVul Security

Mô tả sự cố

Vào ngày 23 tháng 9, khóa riêng ví đa chữ ký của dự án UXLINK đã bị rò rỉ, dẫn đến việc đánh cắp khoảng 11,3 triệu đô la tài sản tiền điện tử, được phân tán trên nhiều sàn giao dịch tập trung (CEX) và phi tập trung (DEX). Ngay sau vụ tấn công, chúng tôi đã hợp tác với UXLINK để điều tra, phân tích vụ tấn công và theo dõi dòng tiền. UXLINK đã khẩn trương liên hệ với các sàn giao dịch lớn để yêu cầu đóng băng số tiền bị nghi ngờ và đã nộp báo cáo lên cảnh sát và các cơ quan liên quan để tìm kiếm sự hỗ trợ pháp lý và thu hồi tài sản. Phần lớn tài sản của tin tặc đã bị các sàn giao dịch lớn đóng băng, giảm thiểu rủi ro cho cộng đồng. Dự án vẫn cam kết minh bạch với cộng đồng, và ExVul sẽ tiếp tục phân tích và theo dõi sự cố.

（https://x.com/UXLINKofficial/status/1970181382107476362）

Diễn biến mới nhất

Trong quá trình chuyển tiền của tin tặc, số tiền chảy vào các sàn giao dịch đã bị đóng băng. Theo dõi sơ bộ trên chuỗi cho thấy tin tặc đã đánh cắp tài sản UXLINK trước đó bị nghi ngờ là nạn nhân của một cuộc tấn công lừa đảo Inferno Drainer. Việc xác minh cho thấy khoảng 542 triệu token $UXLINK đã bị đánh cắp bất hợp pháp thông qua "lừa đảo được ủy quyền".

Giao dịch lừa đảo bị hack: https://arbiscan.io/tx/0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee

Đúc $UXLINK 1B trái phép: https://arbiscan.io/tx/0x2466caf408248d1b6fc6fd9d7ec8eb8d8e70cab52dacff1f94b056c10f253bc2

Phân tích tấn công

1. Hợp đồng trước đó đã bị Chủ sở hữu ký đè. Thao túng độc hại hoặc rò rỉ khóa riêng đã khiến một địa chỉ độc hại được thêm vào dưới dạng tài khoản đa chữ ký, và ngưỡng chữ ký của hợp đồng được đặt lại về 1, nghĩa là chỉ cần một chữ ký tài khoản duy nhất để thực hiện hợp đồng. Tin tặc đã đặt địa chỉ Chủ sở hữu mới là 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87.2. Kẻ tấn công trước tiên gọi hàm execTransaction trong hợp đồng Gnosis Safe Proxy. Hàm này đóng vai trò là điểm vào để xóa các thành viên đa chữ ký một cách ác ý, và tất cả các hoạt động độc hại tiếp theo đều được thực thi trong giao dịch này.

(https://arbiscan.io/address/0x7715200141cfd94570bc9d97260ec974ee747972#code)

3. Khi gọi execTransaction, kẻ tấn công đã chỉ định một hoạt động độc hại trong tham số dữ liệu của nó: gọi hợp đồng triển khai Safe: Multi Send Call
Only 1.3.0 thông qua delegatecall. 4. Trong hàm multiSend của Safe: Multi Send Call Only 1.3.0, luồng thực thi gọi lại hàm removeOwner của hợp đồng Gnosis Safe Proxy. Cụ thể, kẻ tấn công trước tiên gọi hợp đồng triển khai MultiSend thông qua lệnh delegatecall trên hợp đồng proxy, khiến nó chạy multiSend trong ngữ cảnh của hợp đồng proxy. Sau đó, multiSend gọi lại chính hợp đồng Gnosis Safe Proxy bằng các tham số do kẻ tấn công tạo ra, kích hoạt hàm removeOwner và xóa địa chỉ chủ sở hữu hiện tại.

(https://arbiscan.io/address/0x40a2accbd92bca938b02010e17a5b8929b49130d#code)

5 Chìa khóa cho một lệnh gọi thành công là điều kiện msg.sender == address(this) được đáp ứng. Trong hàm removeOwner, để ngăn chặn các lệnh gọi trực tiếp từ bên ngoài, hợp đồng thiết lập xác minh được ủy quyền. Logic nội bộ của nó thường yêu cầu người gọi phải là chính hợp đồng (msg.sender == address(this)). Do đó, removeOwner sẽ chỉ được thực thi thành công khi tiến trình nội bộ của hợp đồng gọi lại chính nó. 6. Tin tặc sử dụng phương pháp này để dần dần xóa các chủ sở hữu còn lại trong hợp đồng đa chữ ký, phá vỡ cơ chế đa chữ ký và cuối cùng chiếm quyền kiểm soát hợp đồng. 7. Bằng cách lặp lại các bước này, kẻ tấn công đã hoàn toàn vô hiệu hóa cơ chế bảo mật đa chữ ký hiện có. Lúc này, chữ ký của một chủ sở hữu độc hại duy nhất có thể vượt qua xác minh đa chữ ký, cho phép chúng kiểm soát hoàn toàn hợp đồng.

(https://arbiscan.io/txs?a=0x2ef43c1d0c88c071d242b6c2d0430e1751607b87&p=2)

Tóm tắt

Do hoạt động độc hại hoặc rò rỉ khóa riêng tư của chủ sở hữu đa chữ ký, kẻ tấn công đã thêm một địa chỉ độc hại làm thành viên đa chữ ký và đặt ngưỡng chữ ký của Gnosis Safe Proxy thành 1, hoàn toàn vô hiệu hóa thiết kế bảo mật đa chữ ký ban đầu. Điều này cho phép một chủ sở hữu độc hại duy nhất vượt qua xác minh đa chữ ký. Kẻ tấn công sau đó dần dần loại bỏ các chủ sở hữu khác khỏi hợp đồng, cuối cùng giành được quyền kiểm soát hoàn toàn hợp đồng, tiếp tục chuyển giao tài sản hợp đồng và phát hành token $UXLINK độc hại trên chuỗi. Cuộc tấn công này làm nổi bật vai trò quan trọng của quản lý đa chữ ký trong bảo mật blockchain. Mặc dù dự án đã sử dụng cơ chế đa chữ ký Safe và cấu hình nhiều tài khoản đa chữ ký, nhưng việc quản lý thiếu sót cuối cùng đã khiến thiết kế đa chữ ký trở nên kém hiệu quả. Nhóm ExVul khuyến nghị các dự án nên ưu tiên quản lý đa chữ ký phi tập trung, chẳng hạn như phân quyền cho các thành viên khác nhau quản lý riêng biệt các khóa riêng tư và áp dụng các phương pháp lưu trữ khóa riêng tư đa dạng để đảm bảo cơ chế đa chữ ký thực sự mang lại các biện pháp bảo vệ an ninh như mong muốn.

Phụ lục

Sau đây là các địa chỉ tin tặc bị nghi ngờ đã được nhóm ExVul theo dõi trên chuỗi:

Bài viết này được trích từ một bài gửi và không đại diện cho quan điểm của BlockBeats.