宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > BNB > 正文

Multichain黑客盗币案分析:扑朔迷离的一次盗币案件?涉及资金约1.26亿美元

作者:

时间:1900/1/1 0:00:00

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,7月6日,跨链桥项目Multichain被攻击,涉及资金约1.26亿美元。

据了解,Multichain前身是Anyswap,公开资料显示,Anyswap创立于2020年7月,最初定位于跨链DEX。但基于项目的发展,Anyswap已经逐渐将业务聚焦于资产跨链,弱化了DEX 的交易功能。

这不是Multichain第一次被攻击,此前这个跨链项目曾被黑客觊觎过几次,不过本次攻击事件却扑朔迷离,根据链上交易详情和交易日志分析,此次盗币并非来源于合约漏洞,而是充满着层层蹊跷。

一、事件基本情况

Multichain副总裁:Router 2网关网桥恢复工作:金色财经报道,跨链协议Multichain副总裁宣布Router 2网关网桥恢复工作。

金色财经此前报道,Web3知识图谱协议0xScope创始人Bobie在社交媒体上称,Multichain的Zksync Era/Kava EVM/Avax C-Chain跨链桥疑似恢复运行。[2023/6/5 21:17:22]

在UTC时间2023年7月6日14:21开始,“黑客”开始攻击Multichain桥,在3个半小时内从容将Multichain: Fantom Bridge(EOA)和Multichain: Moonriver Bridge(EOA)约1.26亿美元资产转至下面6个地址进行了沉淀:

0x418ed2554c010a0C63024D1Da3A93B4dc26E5bB7

Multiverse Labs在阿联酋推出元宇宙城市Sharjahverse:金色财经报道,人工智能生态系统Multiverse Labs在阿联酋(UAE)推出了一个新的元宇宙城市,阿联酋称此举可以加强该地区的旅游业。这个新的元宇宙城市被称为Sharjahverse,Multiverse Labs将其描述为一个“逼真的、物理学上准确的”元宇宙,涵盖了该国1,000平方英里的面积。

沙迦商业和旅游发展局(SCTDA)是负责促进该国旅游业的主要政府机构,这个元宇宙城市得到了该部门的支持。沙迦商业和旅游发展局主席Khalid Jasim Al Midfa说,这项新举措旨在改变“大众市场的旅游业,使其朝着下一代可持续发展的方向发展”。(Cointelegraph)[2022/10/11 10:30:48]

0x622e5F32E9Ed5318D3A05eE2932fd3E118347bA0

Web3原生计算平台Fluence获得900万美元融资,Multicoin Capital领投:金色财经报道,Web3 原生计算平台 Fluence 获得 900 万美元融资,Multicoin Capital 领投,Alameda Ventures、Tiger Global、Protocol Labs、Arweave Capital、Polymorphic Capital、OP Crypto、Signum Capital 和 UOB Venture Management等参投。

据悉,Fluence 是去中心化且无需许可的 AWS。Fluence 可以从任何公共数据源(IPFS、Filecoin、Arweave、Ceramic、Ethereum、Polygon、Solana、Flow 等)读取数据,并对其进行计算,并将新计算的数据存储回任何这些存储库中。[2022/2/17 9:56:28]

0x027f1571aca57354223276722dc7b572a5b05cd8

声音 | MultiVAC CEO:加密货币牛市即将到来,专注技术创新的公链将迎来新机会:MultiVAC CEO Frank今日发表观点称,目前Bakkt、TON、以太坊2.0以及Libra都可能在接下来的半年到一年内相继推出,甚至是央行的数字货币也不会缺席,每个项目都将给行业带来巨大的关注度和新机会。预计加密货币牛市即将到来,真正有技术创新的底层公链也将迎来新的机会。他指出,目前MultiVAC在底层技术创新和实体落地合作层面都有了不错的进展,希望到时能带给大家惊喜。[2019/9/21]

0x9d5765aE1c95c21d4Cc3b1d5BbA71bad3b012b68

0xefeef8e968a0db92781ac7b3b7c821909ef10c88

0x48BeAD89e696Ee93B04913cB0006f35adB844537

公告 | MultiVAC基金会今日燃烧20亿MTV代币,约合1020万美金:据MultiVAC官方公告,MultiVAC基金会原本持有总量27%的MTV代币,经决定,今日已燃烧20%代币(即20亿枚),仅保留已释放的7%。据悉,此前MTV的矿工奖励和社区奖励已全部由基金会从二级市场回购。此次燃烧的20亿代币将用于主网上线后矿工的挖矿奖励。[2019/8/29]

Beosin KYT/AML追踪发现被盗资金流向及时间关系如下图:

根据链上记录可以看到最初的可疑交易0xde3eed5656263b85d43a89f1d2f6af8fde0d93e49f4642053164d773507323f8,从交易后进行了大量的资产转移,其中包括从 Multichain 的 Fantom 桥转移 4,177,590 DAI、491,656 LINK、910,654 UNIDX、1,492,821 USDT、9,674,426 WOO、1,296,990 ICE、1,361,885 CRV、134 YFI、502,400 TUSD 到可疑地址 0x9d57***2b68;转移 27,653,473 USDC 到可疑地址 0x027f***5cd8;转移 30,138,618 USDC 到可疑地址 0xefee***0c88;转移 1,023 WBTC 到可疑地址 0x622e***7ba0;转移 7,214 WETH到可疑地址 0x418e***5bb7。

以及从 Multichain 的 Moonriver 桥转移4,830,466 USDC、1,042,195 USDT、780,080 DAI、6 WBTC 到可疑地址0x48Be***4537。另外从疑似 Multichain 的 Dogechain 桥地址0x55F0***4088转移了 666,470 USDC 到可疑地址0x48Be***4537。

二、本次安全事件一些可疑的部分

根据链上交易详情和交易日志分析,此次盗币并非来源于合约漏洞,被盗地址为账户地址,被盗行为也只是最基本的链上转账。

被盗的多笔交易中,也未发现有什么共同特征,唯一的相同点就是都转入了空白地址(转账之前无交易无手续费),每笔交易之间间隔也是在几分钟到十几分钟不等,往同一个地址进行转账的间隔最短也有一分钟,可以大致排除‘黑客’是通过脚本或程序漏洞批量盗币。

往不同的地址进行转账的时候时间间隔也较长,怀疑可能黑客是在盗币的时候临时创建的,并对私钥等信息进行了备份。嫌疑地址总共有6个,被盗的币种有13种,不排除整个事件多个人做的。

三、对黑客进行盗币手法的猜测

针对以上的各种行为,我们猜测黑客通过以下几种方法进行了盗币

1.对Multichain的后台进行了渗透,获取了整个项目的权限,通过后台对自己的新建账户进行转账。

2.通过黑客攻击项目方的设备,获取了该地址的私钥,直接通过私钥进行转账。

3.Multichain内部操作,通过黑客攻击的借口进行资金转移和获利。在被黑客攻击后,Multichain未对该地址的剩余资产马上进行转移,且过了十几个小时才宣布停止服务,项目方响应速度太慢。黑客转账的行为也很随意,不仅有大额转账,也有2USDT的小额转账,且整个时间跨度较大,黑客掌握私钥的可能性极大。

四、跨链协议面对的安全问题有哪些?

基本本次事件,大家再次对跨链桥的安全问题进行了担忧,毕竟就在前几日,跨链桥项目Poly Network就被黑客攻击,黑客利用伪造的凭证向多条链的跨链桥合约进行取款操作。

根据Beosin安全团队的研究,发现跨链桥面对的安全挑战还有以下这些。

跨链消息验证不完整。

跨链协议在检查跨链数据时,应包含合约地址、用户地址、数量、链ID等等。比如pNetwork安全事件由于未验证事件记录的合约地址,导致攻击者伪造Redeem事件去提取资金,累计损失约为1300万美元

验证者私钥泄露。

目前大部分跨链仍是借助验证者来执行跨链错误,如果私钥丢失,将威胁整个协议的资产。Ronin侧链由于其四个 Ronin的四个验证器和一个第三方验证器被攻击者利用社会工程学所控制,随意提取协议资产,最终损失6亿美元。

签名数据复用。

主要是指提款凭证可以复用,多次提取资金。Gnosis Omni Bridge安全事件 ,由于硬编码化了Chain ID,导致黑客可以使用相同的取款凭证,在分叉链ETH和ETHW链上取出对应的锁定资金。累计损失约为6600万美元

因此我们也建议跨链项目方应该注重安全风险,注重安全审计。

Beosin

企业专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

标签:ULTIULTMULTIChainPLC UltimaCULTBinance Multi-Chain Capitalstar kay Chain

BNB热门资讯
BRC-20的数据安全性:实践中被彻底删除可能性有限

在前面介绍BRC-20/Ordinals的文章中,我写到理论上BRC-20/Ordinals的数据有可能被删掉。在文章末尾,有读者提出了不同的意见。首先要谢谢这位读者指出这个涉及资产安全的关键问题.

1900/1/1 0:00:00
新闻周刊 | 香港正在探索推出稳定币HKDG

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事.

1900/1/1 0:00:00
Web3游戏不仅需要所有权 也离不开AI

Web3 = read + AIGC + own ?关于 Web3 的概念,我们现在比较熟悉的是由 Gavin Wood 于 2014 年提出的融合去中心化区块链技术以及代币经济学的迭代互联网想法.

1900/1/1 0:00:00
Crypto和AI的融合:四个关键交叉点

作者:Kyle Samani(Multicoin Capital合伙人) 和ChatGPT;翻译:金色财经cryptonaitive和ChatGPT注:这篇文章的绝大部分内容,包括大部分标题,都是由 ChatGPT 撰写的.

1900/1/1 0:00:00
2023 牛还有多远?

漫长煎熬的2022年已然过去,纵然这张一年折磨体验卡,真的挺折磨,甚至折磨的欲仙欲死,但终究还是告一段落。终于到了2023年,可以重新抽卡了!大概很多人,都想抽到一张牛牛卡吧,但万事万物都有它的规律,所谓地法天、天法道、道法自然.

1900/1/1 0:00:00
对话 Arbitrum 研究员 Patrick McCorry 如何去中心化 Rollup?

本期访谈的文字稿整理借助了 OpenAI Whisper 来进行转录,并在此基础上进行了编译。 Github 链接: https://github.com/openai/whisper 引介 我们在看各种 rollup 解决方案的愿景.

1900/1/1 0:00:00