据慢雾AML团队分析统计,THORChain?三次攻击真实损失如下:
2021年6月29日,THORChain遭“假充值”攻击,损失近35万美元;
2021年7月16日,THORChain二次遭“假充值”攻击,损失近800万美元;
2021年7月23日,THORChain再三遭攻击,损失近800万美元。
这不禁让人有了思考:三次攻击的时间如此相近、攻击手法如此相似,背后作案的人会是同一个吗?
慢雾AML?团队利用旗下?MistTrack反追踪系统对三次攻击进行了深入追踪分析,为大家还原整个事件的来龙去脉,对资金的流向一探究竟。
第一次攻击:“假充值”漏洞
攻击概述
本次攻击的发生是由于THORChain代码上的逻辑漏洞,即当跨链充值的ERC20代币符号为ETH时,漏洞会导致充值的代币被识别为真正的以太币ETH,进而可以成功的将假ETH兑换为其他的代币。此前慢雾安全团队也进行了分析,详见:假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞。
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH
资金流向分析
根据官方提供的黑客地址,慢雾AML团队分析并整理出了攻击者相关的钱包地址情况如下:
众议院道德委员会已命令Madison Cawthorn支付超过15000美元的罚款:金色财经报道,美国众议院道德委员会已命令共和党众议员Madison Cawthorn支付超过15,000美元的惩罚性捐款和罚款,因为他违反了国会和政府关于一种鲜为人知的数字货币的道德规则。
委员会调查得出结论,在一系列争议之后失去共和党席位提名的Cawthorn未能根据众议院道德规则和联邦法律披露其持有的代币“LGB Coin”?。直到调查开始后,Cawthorn才按要求披露其持有的代币,他在购买了价值150,000美元的代币后公开推动购买代币。[2022/12/7 21:27:08]
经?MistTrack反追踪系统分析发现,攻击者在6月21号开始筹备,使用匿名兑换平台ChangeNOW?获得初始资金,然后在5天后(6月26号)部署攻击合约。
在攻击成功后,多个获利地址都把攻击获得的ETH转到混币平台TornadoCash?以便躲避追踪,未混币的资金主要是留存在钱包地址(0xace...d75)和(0x06b...2fa)上。
YouTube删除比特币影响者Anthony Pompliano的频道:金色财经报道,著名的比特币影响者Anthony Pompliano宣布其YouTube频道已被删除,理由是违反了该公司的社区准则。对此,Pomp表示当时正在讨论比特币,并且并没有违反任何社区准则。据悉,YouTube过去曾错误地删除或暂时禁止了几个加密影响者的帐户。[2021/10/12 20:22:06]
慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:
29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI
第二次攻击:取值错误导致的“假充值”漏洞
攻击概述
根据分析发现,攻击者在攻击合约中调用了THORChainRouter合约的deposit方法,传递的amount参数是0。然后攻击者地址发起了一笔调用攻击合约的交易,设置交易的value(msg.value)不为0,由于THORChain代码上的缺陷,在获取用户充值金额时,使用交易里的msg.value值覆盖了正确的Depositevent中的amount值,导致了“空手套白狼”的结果。
Anthony Pompliano:法币实验失败的可能性可能不到5%:Morgan Creek Digital联创Anthony Pompliano解释当前市场崩盘的原因:大多数投资者意识到新冠病问题造成经济放缓,进而导致市场不确定性和恐慌。这是以流动性危机形式出现。在现代流动性危机中,投资者将出售任何有流动性市场的资产,以获得美元。这就是为何你会看到各种资产被抛售。股票、黄金、国债、比特币等领域都能看到。没有资产能幸免。以另一种方式看待,美元兑其他所有资产在走强。美元变得更有价值,购买同样资产所需美元更少。要想补救目前的局面,美元必须在某个时候贬值,这是止血的唯一方法。美联储必须向市场注入数万亿美元。他认为至少需要5万亿美元。然而,一旦他们采取行动,就会导致通货膨胀。这又带来两种可能情况:资产价格爆涨和法币系统的潜在故障。出现第一个结果,则资产将更昂贵,需要更多美元来购买。黄金和比特币等通胀对冲工具的涨幅可能最大。最重大风险是法币实验的失败,虽然发生的概率或不到5%。当经济沉迷于货币刺激时,该实验最容易失败。这种刺激只是货币长期贬值,不可能永远持续。许多人已受到伤害,如果不果断采取刺激措施,将有更多人受伤害。(Cryptopotato)[2020/3/19]
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE
资金流向分析
慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:
声音 | XRP前CTO Stefan Thomas:XRP有足够的实力挑战BTC:据ambcrypto消息,最近有网友质疑XRP前CTO Stefan Thomas作为比特币的早期倡导者,后来却进入Ripple工作并开始质疑比特币的使用率。对此, Stefan Thomas表示,他进入比特币是为了简化用户付款流程,而在这方面XRP做得更好,XRP修复了很多比特币的不足,比如能源使用,地理集中化,交易延迟等。XRP有足够的实力来挑战比特币,但市场并不总是理性的。[2019/6/1]
MistTrack反追踪系统分析发现,攻击者地址(0x4b7...c5a)给攻击者地址(0x3a1...031)提供了初始资金,而攻击者地址(0x4b7...c5a)的初始资金来自于混币平台TornadoCash转出的10ETH。
在攻击成功后,相关地址都把攻击获得的币转到地址(0xace...70e)。
该获利地址(0xace...70e)只有一笔转出记录:通过TornadoCash转出10ETH。
声音 | Anthony Pompliano:股票市场和数字货币市场之间的相关性仅仅是心理上的:据CCN报道,加密基金经理Anthony Pompliano称,股票市场和数字货币市场之间的相关性仅仅是心理上的。如果你看一下数字资产和标准普尔500指数在过去180天之间的相关性,那就是零。如果你看一下它与美元指数之间的关系,它几乎为零。事实证明它们是不相关的,我希望能继续下去。[2018/12/31]
慢雾AML团队统计攻击者获利地址上的资金发现,官方的统计遗漏了部分损失:
2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC
第三次攻击:退款逻辑漏洞
攻击概述
本次攻击跟第二次攻击一样,攻击者部署了一个攻击合约,作为自己的router,在攻击合约里调用THORChainRouter合约。但不同的是,攻击者这次利用的是THORChainRouter合约中关于退款的逻辑缺陷,攻击者调用returnVaultAssets函数并发送很少的ETH,同时把攻击合约设置为asgard。然后THORChainRouter合约把ETH发送到asgard时,asgard也就是攻击合约触发一个deposit事件,攻击者随意构造asset和amount,同时构造一个不符合要求的memo,使THORChain节点程序无法处理,然后按照程序设计就会进入到退款逻辑。
(截图来自viewblock.io)
有趣的是,推特网友把这次攻击交易中的memo整理出来发现,攻击者竟喊话THORChain官方,表示其发现了多个严重漏洞,可以盗取ETH/BTC/LYC/BNB/BEP20等资产。
(图片来自https://twitter.com/defixbt/status/1418338501255335937)
根据THORChain官方发布的复盘文章,此次攻击造成的损失为:
966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT
资金流向分析
慢雾AML团队分析发现,攻击者相关的钱包地址情况如下:
MistTrack反追踪系统分析发现,攻击者地址(0x8c1...d62)的初始资金来源是另一个攻击者地址(0xf6c...747),而该地址(0xf6c...747)的资金来源只有一笔记录,那就是来自于TornadoCash转入的100ETH,而且时间居然是2020年12月!
在攻击成功后,攻击者将资金转到了获利地址(0x651...da1)。
总结
通过以上分析可以发现,三次攻击的初始资金均来自匿名平台(ChangeNOW、TornadoCash),说明攻击者有一定的“反侦察”意识,而且第三次攻击的交易都是隐私交易,进一步增强了攻击者的匿名性。
从三次攻击涉及的钱包地址来看,没有出现重合的情况,无法认定是否是同一个攻击者。从资金规模上来看,从第一次攻击到第三次攻击,THORChain被盗的资金量越来越大,从14万美金到近千万美金。但三次攻击获利的大部分资金都没有被变现,而且攻击间隔时间比较短,慢雾AML团队综合各项线索,推理认为有一定的可能性是同一人所为。
截止目前,三次攻击后,攻击者资金留存地址共有余额近1300万美元。三次攻击事件后,THORChain损失资金超1600万美元!
(被盗代币价格按文章发布时价格计算)
依托慢雾BTI系统和AML系统中近两亿地址标签,慢雾MistTrack反追踪系统全面覆盖了全球主流交易所,累计服务50+客户,累计追回资产超2亿美金。(详见:慢雾AML升级上线,为资产追踪再增力量)。针对THORChain攻击事件,?慢雾AML团队将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。
跨链系统的安全性不容忽视,慢雾科技建议项目方在进行跨链系统设计时应充分考虑不同公链不同代币的特性,充分进行“假充值”测试,必要时可联系专业安全公司进行安全审计。
监管对加密货币相关业务的围追堵截,除了关停矿场和转移出海,也倒逼区块链相关公司更专注于在技术领域进行突破。在监管禁止加密货币挖矿业务之后,矿企们正在加速将国内矿机业务向海外转移.
1900/1/1 0:00:004月23日,比特币价格跌破50000美元大关,当时的24h内,46万人爆仓,超211亿元资金灰飞烟灭;5月19日,比特币价格大跌,一度跌至29000美元附近,最大跌幅超过30%,当天,爆仓资金超过400亿元.
1900/1/1 0:00:00DeFi协议依赖于流动性,因此为任何愿意为其平台增加流动性的人建立了经济激励措施。在我们的低利率宏观经济环境中,闲置现金几乎为零,DeFi收益率变得非常诱人.
1900/1/1 0:00:00概述 本文介绍了一种新型的自动化做市商,可以帮助以太坊上的交易者有效地执行大额订单。我们称其为时间加权平均做市商,缩写为TWAMM.
1900/1/1 0:00:00历经行情低迷,比特币下跌,监管收紧等打击之后,如今的加密货币行业正处于低谷期。而与加密货币行情紧密挂钩的挖矿领域,也自然没有办法免俗.
1900/1/1 0:00:007月25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心举行。我有幸在大会上发表演讲《NFT——价值互联网的未来》.
1900/1/1 0:00:00