THORChain 連遭三擊，黑客會是同一個嗎？_CHA

據慢霧AML團隊分析統計，THORChain三次攻擊真實損失如下：

2021年6月29日，THORChain遭“假充值”攻擊，損失近35萬美元；

2021年7月16日，THORChain二次遭“假充值”攻擊，損失近800萬美元；

2021年7月23日，THORChain再三遭攻擊，損失近800萬美元。

這不禁讓人有了思考：三次攻擊的時間如此相近、攻擊手法如此相似，背后作案的人會是同一個嗎？

慢霧AML團隊利用旗下MistTrack反洗錢追蹤系統對三次攻擊進行了深入追蹤分析，為大家還原整個事件的來龍去脈，對資金的流向一探究竟。

第一次攻擊：“假充值”漏洞

攻擊概述

本次攻擊的發生是由于THORChain代碼上的邏輯漏洞，即當跨鏈充值的ERC20代幣符號為ETH時，漏洞會導致充值的代幣被識別為真正的以太幣ETH，進而可以成功的將假ETH兌換為其他的代幣。此前慢霧安全團隊也進行了分析，詳見：假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞。

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

9352.4874282PERP

1.43974743YFI

2437.936SUSHI

10.615ETH

Marathon取消第四季度財報電話會議:金色財經報道，比特幣礦企Marathon Digital取消了定于周二在美國收盤后召開的第四季度財報電話會議。根據周二提交的一份文件，在收到美國證券交易委員會（SEC）關于“會計錯誤”的通知后，該礦業公司推遲了第四季度和2022年全年業績的發布。這些錯誤與數字資產的減值有關，并影響了最早可追溯到2021年的公布業績。Marathon表示，它打算更正這些錯誤并重述受影響的財務報表。備案文件稱，該公司應該將其MARA礦池的收入記錄為毛收入，而不是凈收入。

該文件稱，“據Marathon估計，由于其財務報表中收入的‘凈’與‘毛’收入列報方式不同，其截至2021年12月31日止的收入和收入成本都被低估了。因此，在完成2021年的重述后，收入、能源、托管和其他方面的收入預計將增加。”但是，文件補充說，這次重述不應對2021年或2022年的任何中期的總利潤率、營業收入或凈收入產生任何影響。[2023/3/1 12:35:16]

資金流向分析

根據官方提供的黑客地址，慢霧AML團隊分析并整理出了攻擊者相關的錢包地址情況如下：

經MistTrack反洗錢追蹤系統分析發現，攻擊者在6月21號開始籌備，使用匿名兌換平臺ChangeNOW獲得初始資金，然后在5天后(6月26號)部署攻擊合約。

在攻擊成功后，多個獲利地址都把攻擊獲得的ETH轉到混幣平臺TornadoCash以便躲避追蹤，未混幣的資金主要是留存在錢包地址(0xace...d75)和(0x06b...2fa)上。

Polkadot Hackathon: North America 公布黑客松獲勝項目:9月18日消息，波卡公布 Polkadot Hackathon: North America 的獲勝項目，大將獲得項目為 XCM DOT Autostake，獎金 3 萬美元。此外，DAO 和治理類別中 Diora Network、Rooster DAO、Shivarthu 獲得前三名，DeFi 類別中 RoboFi、Polkadot Acala aUSD Credit Card、Humidefi 獲得前三名，界面和體驗類別中 Moonbridge、Subsocial Substrate StackExchange、Polkadot Point of Sale Terminal 獲得前三名，NFT 類別中 KodaDot:Moonsamal、Sociable Weaver、Ventur NT-NFT Pallet 獲得前三名。[2022/9/18 7:04:32]

慢霧AML團隊統計攻擊者獲利地址上的資金發現，官方的統計遺漏了部分損失：

29777.378146USDT

78.14165727ALCX

11.75154045ETH

0.59654637YFI

第二次攻擊：取值錯誤導致的“假充值”漏洞

攻擊概述

根據分析發現，攻擊者在攻擊合約中調用了THORChainRouter合約的deposit方法，傳遞的amount參數是0。然后攻擊者地址發起了一筆調用攻擊合約的交易，設置交易的value(msg.value)不為0，由于THORChain代碼上的缺陷，在獲取用戶充值金額時，使用交易里的msg.value值覆蓋了正確的Depositevent中的amount值，導致了“空手套白狼”的結果。

Sigma Prime發布以太坊2.0客戶端Lighthouse更新報告:以太坊2.0客戶端Lighthouse開發團隊Sigma Prime發布Lighthouse更新報告，包括：

1.大型公共多客戶端測試網Medalla已經啟動；

2. Lighthouse版本0.2.0已經發布（與Medalla測試網一致）；

3. Rust-gossipsub 1.1已準備好進行測試；

4. 關鍵管理改進和EF Launchpad集成；

5. 高級同級管理和同級評分；

6. 穩定性、性能和測試網改進方面的重要工作。[2020/8/17]

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

2500ETH

57975.33SUSHI

8.7365YFI

171912.96DODO

514.519ALCX

1167216.739KYL

13.30AAVE

資金流向分析

慢霧AML團隊分析發現，攻擊者相關的錢包地址情況如下：

MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0x4b7...c5a)給攻擊者地址(0x3a1...031)提供了初始資金，而攻擊者地址(0x4b7...c5a)的初始資金來自于混幣平臺TornadoCash轉出的10ETH。

動態 | 以太坊2.0客戶端Lighthouse的首個版本暫定于 7 月 15 日發布:以太坊 2.0 開發團隊Sigma Prime宣布，暫定于7月15 日發布以太坊 2.0 客戶端 Lighthouse的第一個版本，該版本主要針對研究人員和開發者。Lighthouse是一個用編程語言Rust 開發的以太坊2.0客戶端。[2019/7/7]

在攻擊成功后，相關地址都把攻擊獲得的幣轉到地址(0xace...70e)。

該獲利地址(0xace...70e)只有一筆轉出記錄：通過TornadoCash轉出10ETH。

慢霧AML團隊統計攻擊者獲利地址上的資金發現，官方的統計遺漏了部分損失：

2246.6SUSHI

13318.35DODO

110108KYL

243.929USDT

259237.77HEGIC

第三次攻擊：退款邏輯漏洞

攻擊概述

本次攻擊跟第二次攻擊一樣，攻擊者部署了一個攻擊合約，作為自己的router，在攻擊合約里調用THORChainRouter合約。

但不同的是，攻擊者這次利用的是THORChainRouter合約中關于退款的邏輯缺陷，攻擊者調用returnVaultAssets函數并發送很少的ETH，同時把攻擊合約設置為asgard。然后THORChainRouter合約把ETH發送到asgard時，asgard也就是攻擊合約觸發一個deposit事件，攻擊者隨意構造asset和amount，同時構造一個不符合要求的memo，使THORChain節點程序無法處理，然后按照程序設計就會進入到退款邏輯。

聲音 | 分析師Anthony Grisanti：預計比特幣將出現回調:GRZ能源公司分析師Anthony Grisanti表示，比特幣在相當長一段時間內未能保持在8000美元以上并不是最好的跡象。他預計將出現回調，預期6870美元至6425美元之間存在“有趣”的缺口，這大約在幾個關鍵技術水平（21日均線）的水平。如果我們開始在這個市場獲利，它將填補這個缺口，但這對未來的市場來說實際上是非常健康的。這是參考本周的CME交易時段之一，，在此期間，由于資產的波動性出現了巨大的缺口。就在一天前，Grisanti的一位前客戶還暗示比特幣處于領先地位，并指出如果他要交易該資產，他將做空比特幣，并希望在7000美元的低點獲利。[2019/5/16]

(截圖來自viewblock.io)

有趣的是，推特網友把這次攻擊交易中的memo整理出來發現，攻擊者竟喊話THORChain官方，表示其發現了多個嚴重漏洞，可以盜取ETH/BTC/LYC/BNB/BEP20等資產。

(圖片來自https://twitter.com/defixbt/status/1418338501255335937)

根據THORChain官方發布的復盤文章，此次攻擊造成的損失為：

966.62ALCX

20,866,664.53XRUNE

1,672,794.010USDC

56,104SUSHI

6.91YEARN

990,137.46USDT

資金流向分析

慢霧AML團隊分析發現，攻擊者相關的錢包地址情況如下：

MistTrack反洗錢追蹤系統分析發現，攻擊者地址(0x8c1...d62)的初始資金來源是另一個攻擊者地址(0xf6c...747)，而該地址(0xf6c...747)的資金來源只有一筆記錄，那就是來自于TornadoCash轉入的100ETH，而且時間居然是2020年12月！

在攻擊成功后，攻擊者將資金轉到了獲利地址(0x651...da1)。

總結

通過以上分析可以發現，三次攻擊的初始資金均來自匿名平臺(ChangeNOW、TornadoCash)，說明攻擊者有一定的“反偵察”意識，而且第三次攻擊的交易都是隱私交易，進一步增強了攻擊者的匿名性。

從三次攻擊涉及的錢包地址來看，沒有出現重合的情況，無法認定是否是同一個攻擊者。從資金規模上來看，從第一次攻擊到第三次攻擊，THORChain被盜的資金量越來越大，從14萬美金到近千萬美金。但三次攻擊獲利的大部分資金都沒有被變現，而且攻擊間隔時間比較短，慢霧AML團隊綜合各項線索，推理認為有一定的可能性是同一人所為。

截止目前，三次攻擊后，攻擊者資金留存地址共有余額近1300萬美元。三次攻擊事件后，THORChain損失資金超1600萬美元！

(被盜代幣價格按文章發布時價格計算)

依托慢霧BTI系統和AML系統中近兩億地址標簽，慢霧MistTrack反洗錢追蹤系統全面覆蓋了全球主流交易所，累計服務50客戶，累計追回資產超2億美金。(詳見：慢霧AML升級上線，為資產追蹤再增力量)。針對THORChain攻擊事件，慢霧AML團隊將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。

跨鏈系統的安全性不容忽視，慢霧科技建議項目方在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性，充分進行“假充值”測試，必要時可聯系專業安全公司進行安全審計。

參考資料

****

THORChain官方復盤文章：

https://medium.com/thorchain/eth-parsing-error-and-exploit-3b343aa6466f

https://thearchitect.notion.site/THORChain-Incident-07-15-7d205f91924e44a5b6499b6df5f6c210

https://thearchitect.notion.site/THORChain-Incident-07-22-874a06db7bf8466caf240e1823697e35__

往期回顧

科普|加密貨幣詐騙，你中招了嗎？(下)

慢霧招募令，加入未來的安全獨角獸

梅開二度——PancakeBunny被黑分析

科普|加密貨幣詐騙，你中招了嗎？(上)

假幣的換臉戲法——技術拆解THORChain跨鏈系統“假充值”漏洞

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10216164.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

小馮：以太坊再戰1700有望企穩黃金注意日線反彈信號

Tags：CHAChainAINRCHaccelchainblockchain錢包短信認證AlgoPainterDoge Your Own Research

以太坊