​DAOrayaki：0xhabitat Multisig被盜取事件分析

DAOrayaki DAO研究獎金池：

資助地址: DAOrayaki.eth

DAOrayaki DAO研究獎金池：

資助地址: DAOrayaki.eth

DAOrayaki DAO研究獎金池：

資助地址: DAOrayaki.eth

資助地址: DAOrayaki.eth

賞金總量：90 USDC

二級標題

原文作者: Lukas Schor

二級標題

原文標題: The 0xhabitat Multisig Got Drained: An Analysis

二級標題

• 分析：0xhabitat Multisig 被盜取

• 一位Gnosis Safe 用戶遭遇了嚴重且複雜的網絡釣魚攻擊，導致該項目的Multisig 被抽乾。

重要提示：我們當前的分析表明，這是針對特定Gnosis Safe 用戶的針對性攻擊，我們沒有跡象表明此攻擊還會影響任何其他用戶。該攻擊也沒有利用任何智能合約漏洞，而是使用網絡釣魚技術讓Multisig 所有者簽署惡意交易。

這篇博文旨在闡明0xhabitat 事件並詳細說明從中學到的東西。為了使這份事故報告完全客觀，我們只包含了我們在鏈上和通過我們的後端（交易索引器）收集的第一手數據。可以在此處閱讀0xhabitat 團隊的觀點。首先，讓我們從分析發生的事情開始……

特洛伊木馬

本次事件的主要來源是兩個模仿以下官方Gnosis Safe 智能合約的惡意合約：

Safe Singleton：這是核心邏輯合約。每個Safe 都是指向特定Safe Singleton 的代理合約。 Safes 可以由其用戶升級以指向一個新的Singleton，例如添加功能。

Safe Multisend：這是一種中介智能合約，使Safes 能夠將多個交易合併為一個。

在本文中，惡意合約將被稱為Evil Singleton 和Evil Multisend。 Evil Multisend 合約於11 月23 日在此地址部署。合約的特殊之處在於，它不僅允許批量交易，還可以在同一筆交易中更改Safe 的Singleton。同一天，Evil Singleton 被部署在這個地址。 Evil Singleton 充當特洛伊木馬程序，最初將所有交互轉發到原始Singleton，但有一個後門，使第三方能夠訪問Safe。

這是一個陷阱！

0xhabitat 的故事開始於Evil Multisend 合約部署後幾個小時。在與Evil Multisend 合約交互的0xhabitat Multisig 中提出了一項交易。對於所有相關方來說，它看起來就像是使用Transaction builder Safe App 進行的常規批量交易。然而，這是一個精心設計的交易，乍一看，它看起來像一個普通的Multisend 交易，但實際上，它也將Safe 的Singleton 更新為Evil Singleton。

可以在此處找到有關激活Evil Singleton 的更多技術細節。

轉折點

Safe 升級到Evil Singleton 後，7 天內甚麼都沒有發生。與此同時，0xhabitat 金庫逐漸增長到價值100 萬美元的數字資產。很明顯，攻擊者在執行實際攻擊之前希望蜜罐變大，希望他們的後門之前沒有被發現。 11 月30 日，攻擊開始。黑客創建了一個交易，激活了Evil Singleton，允許第三方賬戶完全控制保險箱中的資產。

• 資金被抽乾

• 在Evil Singleton被激活後僅30 分鐘，攻擊者就能夠將所有資金提取到他們的賬戶中。隨後，攻擊者通過Uniswap 和Sushiswap 將所有資產轉換為ETH。然後通過多筆交易將生成的ETH 發送到Tornado Cash 合約，這是路徑的終點。

• 那麼，究竟發生了什麼？

從我們目前收集到的信息來看，很明顯Multisig 中的一個簽名者密鑰被洩露了。這是因為導致後門實施的惡意交易是由Multisig 的簽名者根據我們的後端數據提出的。雖然無法準確確定這是如何實現的，但有兩大類事件可能導致了這種情況。

網絡釣魚

有幾種方式可能會誤導所有者，導致其提出導致損害0xhabitat Multisig 安全性的交易。可能的選項包括：

流氓瀏覽器擴展：瀏覽器擴展方便，但也有風險。由於擴展可以自由修改Web 應用程序的任何內容。因此，欺詐性瀏覽器擴展程序可能已被用於修改Gnosis Safe Web 界面，以欺騙用戶提出惡意交易。

惡意所有者

暴露multisend地址

Gnosis Safe 團隊的經驗教訓

圖片描述

暴露multisend地址

圖片描述

圖片描述

防止解碼未知的multisend交易

圖片描述

標記意外的委託調用

• 圖片描述

• 當交易使用委託調用與我們未知的合約時，我們添加了一個明確的警告。這是我們讓用戶意識到交易需要特別注意的另一種方式。

• 圖片描述

• 圖片描述

圖片描述

結論

結論

參考資料

1. https://etherscan.io/address/0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

2. https://etherscan.io/address/0x09afae029d38b76a330a1bdee84f6e03a4979359

3. https://bafybeiat2xp7cicrlpq3h57wdnz4pzaoby2cx62c3lprh3lzgrworcitly.ipfs.infura-ipfs.io/Exploit_Info.pdf

4. https://blog.gnosis.pm/the-impact-of-phishing-on-web-3-0-a62385c81310

5. https://github.com/gnosis/safe-react/issues/3091

6. https://github.com/gnosis/safe-react/issues/3090