By:Victory@慢雾安全团队
2021年12?3?,据慢雾区情报,?位GnosisSafe?户遭遇了严重且复杂的?络钓?攻击。慢雾安全团队现将简要分析结果分享如下。
相关信息
攻击者地址1:
0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65
攻击者地址2:
0x26a76f4fe7a21160274d060acb209f515f35429c
恶意逻辑实现合约ETH地址:
0x09afae029d38b76a330a1bdee84f6e03a4979359
恶意合约ETH地址MultiSendCallOnly合约:
0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea
受攻击的代理合约地址:
0xc97f82c80df57c34e84491c0eda050ba924d7429
逻辑合约地址:
1.04亿枚USDC在USDC Treasury销毁:金色财经报道,WhaleAlert数据显示,北京时间今日10:25,104,847,863枚USDC(104,826,893美元)在USDC Treasury销毁。[2023/3/6 12:44:29]
0x34cfac646f301356faa8b21e94227e3583fe3f5f
MultiSendCall合约ETH地址:
0x40a2accbd92bca938b02010e17a5b8929b49130d
攻击交易:
https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e
攻击步骤
美国银行:投资者将BTC再次视为避险资产:10月22日消息,据美国银行(Bank of America Corp.)称,比特币相对于其他资产的走势可能表明,在经历了基本上作为风险资产交易的一段时间后,投资者将其再次视为避险资产。
BTC与黄金的40天相关性约为0.50,高于8月中旬的约0。尽管BTC与标普500指数和纳斯达克100指数的相关性较高,分别为0.69和0.72,但它们已经趋于平缓,低于几个月前的历史水平。(彭博社)[2022/10/23 16:35:42]
第一步:攻击者先是在9天前部署了恶意MultiSendCall,并且验证了合约代码让这个攻击合约看起来像之前真正的MultiSendCall。
第二步:攻击者通过钓??段构造了?个指向恶意地址calldata数据让?户进?签名。calldata??正确的to地址应该是?0x40a2accbd92bca938b02010e17a5b8929b49130d,现在被更改成了恶意合约?ETH地址?MultiSendCallOnly合约0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。
以太坊矿池Ethermine推出ETH质押服务:8月31日消息,在9月15日以太坊合并之前,全球最大的以太坊矿池Ethermine为用户推出新的质押池,该服务不适用于美国矿工。
据悉,Ethermine Staking是基于ETH_STORE的投资方式。这项服务使Ethermine成员可以集体质押以太坊,并赚取利息,投资最低门槛为0.1 ETH(159美元)。
据此前报道,Ethermine将于9月15日关闭ETH矿池,且不为PoW分叉币提供专用矿池。(Cointelegraph)[2022/8/31 12:59:38]
由于攻击者获取的签名数据是正确的,所以通过了验证多签的阶段,之后就开始执?了攻击合约的multiSend函数
资产管理公司Abrdn成为数字资产交易所Archax的最大外部股东:金色财经报道,Abrdn是一家管理着超过 6190 亿美元资产的投资公司,该公司表示,它已成为数字资产交易所Archax的最大外部股东。?Archax成立于 2018 年,是英国第一家受监管的数字证券交易所。它在周五的新闻发布会上表示,它使机构投资者能够访问基于区块链的资产。?
自1月以来,?加密资产公司必须注册并获得金融行为监管局 (FCA) 的批准才能在英国运营。根据发布, Archax是唯一获得监管机构批准的交易所。?[2022/8/12 12:21:21]
这时候通过查看攻击合约我们发现此处的修饰器Payable有赋值的情况存在。这时候我们通过对源码的反编译发现:
当payment.version<VERSION这个条件触发的时候每次调?的时候都会对storage进?重新赋值。这个storage是不是特别眼熟?没错我们来看下Proxy合约。
Solana Labs将推出web3手机Saga,并设立1000万美元生态基金:金色财经报道,Solana Labs首席执行官Anatoly Yakovenko在纽约市的一次活动中宣布,其团队正在开发一款新Android手机Saga,该设备专注于Web3,将包含一个Web3 dapp商店、集成的“Solana Pay”以促进基于二维码的链上支付、一个移动钱包适配器和一个“seed vault”(用于存储私钥)。Anatoly Yakovenko表示,它的成本约为1000 美元,计划于2023年初开始交付。此外,Solana基金会承诺提供1000万美元,以激励开发人员利用其Solana Mobile Stack (SMS)构建应用程序。[2022/6/24 1:27:50]
当这笔交易执?完毕时Proxy的storage已经变成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。
由于Proxy合约执?的逻辑合约地址masterCopy是从storage读取的,所以Proxy指向的逻辑合约会被攻击者更改为攻击合约。后续攻击者只需等待?户把?够的代币放?此合约,之后构造转账函数把钱取?即可。
我们分析了受攻击的合约的交易记录后,发现该攻击者?常狡猾。
攻击者为了避免被发现,在攻击合约中的逻辑中还实现了保证?户依然能正常使?相关的功能。
反编译攻击者的逻辑合约发现,在攻击合约的逻辑保证了攻击者动?前?户都可以正常使?多签功能。只有当攻击者??调?的时候才会绕过验证直接把?户的钱取?。
MistTrack分析
经MistTrack反追踪系统分析发现,攻击者地址1在11?23号开始筹备,使?混币平台Tornado.Cash获得初始资?0.9384ETH,在?分钟后部署了合约,然后将0.8449ETH转到了攻击者地址2。
攻击成功后,攻击者地址2通过Uniswap、Sushiswap将获利的HBT、DAI等代币兑换为ETH,最后将56.2ETH转到混币平台TornadoCash以躲避追踪。
总结
本次攻击先是使?了钓??段获取了?户的?次完整的多签数据,在利?了delegatecall调?外部合约的时候,如果外部合约有对数据进?更改的操作的话,会使?外部合约中变量存储所在对应的slot位置指向来影响当前合约同?个slot的数据。通过攻击合约把代理合约指向的逻辑指向??的攻击合约。这样就可以随时绕过多签把合约的钱随时转?。
经过分析本次的事件,?概率是?客团队针对GnosisSafeMulti-sig应?的?户进?的钓?攻击,0x34cfac64这个正常的逻辑合约是GnosisSafe官?的地址,攻击者将这个地址硬编码在恶意合约中,所以这?系列的操作是适?于攻击所有GnosisSafeMulti-sig应?的?户。此次攻击可能还有其他受害者。慢雾安全团队建议在访问GnosisSafeMultisig应?的时候要确保是官?的?站,并且在调?之前要仔细检查调?的内容,及早的识别出钓??站和恶意的交易数据。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。