SharkTeam ดำเนินการวิเคราะห์ทางเทคนิคของเหตุการณ์นี้ทันทีและสรุปข้อควรระวังด้านความปลอดภัย เราหวังว่าโครงการต่อ ๆ ไปจะสามารถเรียนรู้จากสิ่งนี้และร่วมกันสร้างแนวป้องกันความปลอดภัยสำหรับอุตสาหกรรมบล็อกเชน

1. การวิเคราะห์เหตุการณ์การโจมตี

OKX: สัญญา Dex Aggregator: 0x 70 cbb 871 e 8 f 30 fc 8 ce 23609 e 9 e 0 ea 87 b 6 b 222 f 58

สัญญาอัพเกรดพร็อกซี: 0x55b35bf627944396f9950dd6bddadb5218110c76

Proxy Admin Owner： 0xc82Ea2afE1Fd1D61C4A12f5CeB3D7000f564F5C6

สัญญาผู้ดูแลระบบพร็อกซี: 0x3c18F8554362c3F07Dc5476C3bBeB9Fdd6F6a500

ที่อยู่ตัวเริ่มต้นการโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239

ที่อยู่การไหลของเงินทุน 1: 0x1f14e38666cdd8e8975f9acc09e24e9a28fbc42d

ที่อยู่การไหลของเงินทุน 2: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5

ProxyMain ที่เป็นอันตราย 1: 0x5c4794d9f34fb74903cfafb3cff6e4054b90c167

ProxyMain ที่เป็นอันตราย 2: 0xF36C407F3C467e9364Ac1b2486aA199751BA177D

ผู้สร้างสัญญาพร็อกซีที่เป็นอันตราย: 0x5A58D1a81c73Dc5f1d56bA41e413Ee5288c65d7F

หนึ่งในธุรกรรมการหาประโยชน์: 0x570cf199a84ab93b33e968849c346eb2b761db24b737d44536d1bcb010bca69d

กระบวนการโจมตี:

1. เมื่อเวลา 22:20:35 น. ของวันที่ 12 ธันวาคม 2023 EOA (0x 5 A 58 D 1 a 8) ได้สร้างสัญญา ProxyMain (0x 5 c 4794 d 9)

2. เมื่อเวลา 22:23:47 น. ของวันที่ 12 ธันวาคม 2023 เจ้าของ Proxy Admin (0xc82Ea2af) ได้อัปเกรดสัญญา DEXProxy เป็นสัญญาดำเนินการใหม่ (0x5c4794d9) ผ่านทาง Proxy Admin (0x3c18F855)

3. เมื่อเวลา 23:52:47 น. ของวันที่ 12 ธันวาคม 2023 EOA (0x5A58D1a8) ได้สร้างสัญญา ProxyMain (0xF36C407F)

4. เมื่อเวลา 23:53:59 น. ของวันที่ 12 ธันวาคม 2023 เจ้าของ Proxy Admin (0xc82Ea2af) ได้อัปเกรดสัญญา DEXProxy เป็นสัญญาดำเนินการใหม่ (0xF36C407F) ผ่านทาง Proxy Admin (0x3c18F855)

5. วัตถุประสงค์ของการอัพเกรดสัญญาทั้งสองนี้เหมือนกัน หน้าที่ของสัญญาใหม่คือการเรียกใช้ฟังก์ชันการเคลมโทเค็นของสัญญา TokenApprove เพื่อดำเนินการโอนให้เสร็จสมบูรณ์

2. การวิเคราะห์หลักการโจมตี

1. เมื่อดำเนินการตามสัญญา ProxyMain ก่อนอื่นให้จำกัดผู้เรียกสัญญาไปยังที่อยู่ของผู้โจมตี (0xFacf375A) จากนั้นจึงดำเนินการฟังก์ชัน ClaimTokens ของสัญญา Dex Aggregator

2. ในฟังก์ชันการเคลมโทเค็นของสัญญา Dex Aggregator เนื่องจากสัญญายังไม่ได้เปิดแหล่งที่มาบน Etherscan เราจึงได้รับซอร์สโค้ดผ่านการคอมไพล์ ดังที่คุณเห็นจากข้อมูลโค้ด ฟังก์ชัน ClaimTokens จะตรวจสอบว่าตัวแทนเชื่อถือได้หรือไม่ เมื่อตรวจสอบแล้ว จะเรียกใช้ฟังก์ชัน OKX DEX: TokenApprove

3. ในฟังก์ชัน OKX DEX: TokenApprove โดยปกติจะตรวจสอบว่าผู้โทรเป็นพร็อกซีที่เชื่อถือได้หรือไม่ เช่นเดียวกับการตรวจสอบพร็อกซีที่เชื่อถือได้ครั้งก่อน ตราบใดที่เป็นพร็อกซีที่เชื่อถือได้และผู้ใช้ให้สิทธิ์ TokenApprove ผู้โจมตีสามารถขโมยเงินของผู้ใช้ที่ได้รับอนุญาตได้

3. การติดตามทรัพย์สินบนห่วงโซ่

การโจมตีและการโอนสินทรัพย์มุ่งเน้นไปที่ 3 ที่อยู่ต่อไปนี้เป็นหลัก:

ที่อยู่การโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter);

ที่อยู่การชำระเงิน: 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter 2);

ที่อยู่การชำระเงิน: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter 3)

ในการโจมตีนี้ ที่อยู่การโจมตีจะรับผิดชอบเฉพาะการเรียกใช้ฟังก์ชันการเรียกร้องโทเค็นของสัญญา TokenApprove อย่างต่อเนื่องเพื่อเริ่มต้นการโอนและดำเนินการเรียกเก็บเงินให้เสร็จสิ้นผ่านที่อยู่การชำระเงินสองแห่ง

1. ที่อยู่การโจมตี: 0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter) ธุรกรรมในอดีตก่อนเริ่มการโจมตี:

Inflow：

Outflow：

โอน 20419 USDT และ 1173 USDT ไปที่ 0x4187b2daf33764803714D22F3Ce44e8c9170A0f3 ตามลำดับ และโอนไปที่ 0x7A ผ่านที่อยู่ระดับกลาง 0x4A0cF014849702C0c3c46C2df90F0CAd1E504328, Railgun:Relay และหลายรายการ ที่อยู่ระดับกลาง 20527ba5a749b3b054a821950Bfcc2C01b959f ที่อยู่นี้มีความถี่ในการโอนเงินสูงมูลค่ามากกว่าหนึ่งพันแล้วโอนครั้งละ 300,000 USDT เป็น 0x6b8DEfc76faA33EC11006CEa5176B1cec2078DfE ตามด้วยที่อยู่หลายแห่งที่มีป้ายกำกับ OKX เช่น

0x3D55CCb2a943d88D39dd2E62DAf767C69fD0179F(OKX 23)

0x68841a1806fF291314946EebD0cdA8b348E73d6D(OKX 26)

0xBDa23B750dD04F792ad365B5F2a6F1d8593796f2（OKX 21）

0x276cdBa3a39aBF9cEdBa0F1948312c0681E6D5Fd（OKX 22）

....

นอกจากนี้ ที่อยู่นี้ยังโอน USDT บางส่วนผ่าน Railgun:Relay และแลกเปลี่ยนเหรียญผ่าน Uniswap

2. ที่อยู่การชำระเงิน 1: 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter 2):

Inflow:

Outflow:

ผ่าน 4 ที่อยู่:

0xBbEa72B68138B9a1c3fec2f563E323d025510A4c

0x141F12aB25Fcd1c470a2ede34ad4ec49718B5209

0xFD681A9aA555391Ef772C53144db8404AEC76030

0x17865c33e40814d691663bC292b2F77000f94c34

กระจายเงินทุน จากนั้นใช้ที่อยู่ที่มีป้ายกำกับ Railgun: Relay Railgun: Treasury เพื่อโอน และสุดท้ายโอน 410204.0 USDT ไปยัง BNB Smart Chain ผ่านที่อยู่ที่มีป้ายกำกับ Stargate

3. ที่อยู่การชำระเงิน 2: 0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter 3)

ผ่านที่อยู่กลาง 0x48E3712C473364814Ac8d87a2A70a9004a42E9a3

โอนเงิน 620,000 USDT ไปที่

0xE8A66A5862Ba07381956449e58999DB541e4DE93

และ 0x8094b97A1663b7b73d6c76811355a734BA6F4A1A,

จากนั้นที่อยู่ทั้งสองนี้ถูกโอนไปยังที่อยู่ใหม่สองแห่งตามลำดับ:

0xB31a2196050A3B861C65f23E180E56eD51cf75D7

และ 0x0C1f0233091D6ed371dC84A0ad1602209bCa429c,

ในที่สุด 617964.77 ก็ถูกถ่ายโอนไปยัง Avalanche C-Chain ผ่านที่อยู่ที่มีป้ายกำกับว่า Stargate

แฮกเกอร์อาจเปิดบัญชีและทำธุรกรรมในการแลกเปลี่ยนหลายแห่ง เช่น OKX, Gate.io และ MEXC และสามารถดำเนินการรวบรวมหลักฐาน KYC เป้าหมายได้ นอกจากนี้ ที่อยู่การปรับใช้สัญญาโครงการของ Kumo x World ยังมีธุรกรรมการโอนโดยตรงกับแฮกเกอร์ ที่อยู่.

4. ข้อเสนอแนะด้านความปลอดภัย

สาเหตุของการโจมตีนี้คือการรั่วไหลของคีย์ส่วนตัวของเจ้าของพร็อกซีผู้ดูแลระบบ (0x c 82 Ea 2 af) ซึ่งนำไปสู่การอัปเกรดพร็อกซีที่เป็นอันตรายซึ่งผู้โจมตีใช้งาน เนื่องจากการอัพเกรดสัญญาการดำเนินการที่เป็นอันตรายใหม่ สัญญานี้จึงถูกระบุว่าเป็นพร็อกซีที่เชื่อถือได้ TokenApprove ตรวจพบว่าการดำเนินการตามสัญญาที่เป็นอันตรายนั้นมีความน่าเชื่อถือ ดังนั้นผู้โจมตีจึงสามารถขโมยเงินที่ผู้ใช้อนุญาตให้ TokenApprove มากเกินไปได้ ดังนั้นโปรดตรวจสอบให้แน่ใจว่าได้เก็บคีย์ส่วนตัวของที่อยู่บัญชีที่สำคัญไว้

About Us

วิสัยทัศน์ของ SharkTeam คือการรักษาความปลอดภัยให้กับโลกของ Web3 ทีมงานประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์และนักวิจัยอาวุโสจากทั่วโลก ซึ่งมีความเชี่ยวชาญในทฤษฎีพื้นฐานของบล็อคเชนและสัญญาอัจฉริยะ ให้บริการต่างๆ เช่น การวิเคราะห์บิ๊กดาต้าบนเชน คำเตือนความเสี่ยงบนเชน การตรวจสอบสัญญาอัจฉริยะ การกู้คืนสินทรัพย์ crypto และบริการอื่น ๆ และได้สร้างการวิเคราะห์บิ๊กดาต้าบนเชนและแพลตฟอร์มเตือนความเสี่ยง ChainAegis แพลตฟอร์มดังกล่าวรองรับระดับของ การวิเคราะห์กราฟเชิงลึกและสามารถต่อสู้กับ Advanced Persistent Threat (APT) ในโลก Web3 ได้อย่างมีประสิทธิภาพ ได้สร้างความสัมพันธ์ความร่วมมือระยะยาวกับผู้เล่นหลักในด้านต่างๆ ของระบบนิเวศ Web3 เช่น Polkadot, Moonbeam, polygon, Sui, OKX, imToken, ChainIDE เป็นต้น

เว็บไซต์อย่างเป็นทางการ: https://www.sharkteam.org

Twitter：https://twitter.com/sharkteamorg

Discord：https://discord.gg/jGH9xXCjDZ

Telegram：https://t.me/sharkteamorg