CHA:THORChain 连遭三击，黑客会是同一个吗？

据慢雾AML团队分析统计，THORChain三次攻击真实损失如下：

2021年6月29日，THORChain遭“假充值”攻击，损失近35万美元；

2021年7月16日，THORChain二次遭“假充值”攻击，损失近800万美元；

2021年7月23日，THORChain再三遭攻击，损失近800万美元。

这不禁让人有了思考：三次攻击的时间如此相近、攻击手法如此相似，背后作案的人会是同一个吗？

慢雾AML团队利用旗下MistTrack反追踪系统对三次攻击进行了深入追踪分析，为大家还原整个事件的来龙去脉，对资金的流向一探究竟。

第一次攻击：“假充值”漏洞

攻击概述

本次攻击的发生是由于THORChain代码上的逻辑漏洞，即当跨链充值的ERC20代币符号为ETH时，漏洞会导致充值的代币被识别为真正的以太币ETH，进而可以成功的将假ETH兑换为其他的代币。此前慢雾安全团队也进行了分析，详见：假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞。

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

9352.4874282PERP

1.43974743YFI

2437.936SUSHI

10.615ETH

Dune Analytics宣布开源Python库“Harmonizer”并将集成GPT4:4月21日消息，链上数据分析平台Dune Analytics官推宣布开源Python库“Harmonizer”，Harmonizer主要将来自Postgres&Spark的查询转换为DuneSQL，并且大量利用了SQLGlot（一个处理SQL语言的Python库），Dune使用SQLGlot将查询解析成一个Abstract Syntax Tree，然后翻译成DuneSQL，通过自定义规则传递查询以将其匹配到新平台。Dune Analytics还表示目前正致力于集成GPT4，以使Harmonizer更加强大。[2023/4/22 14:19:20]

资金流向分析

根据官方提供的黑客地址，慢雾AML团队分析并整理出了攻击者相关的钱包地址情况如下：

经MistTrack反追踪系统分析发现，攻击者在6月21号开始筹备，使用匿名兑换平台ChangeNOW获得初始资金，然后在5天后(6月26号)部署攻击合约。

在攻击成功后，多个获利地址都把攻击获得的ETH转到混币平台TornadoCash以便躲避追踪，未混币的资金主要是留存在钱包地址(0xace...d75)和(0x06b...2fa)上。

慢雾AML团队统计攻击者获利地址上的资金发现，官方的统计遗漏了部分损失：

29777.378146USDT

RabbitHole推出V2版，新增Quest Receipts和白名单等功能和新的Quest Protocol:2月17日消息，RabbitHole 推出 RabbitHole V2，新增 Quest Receipts、白名单等新功能和新的 Quest Protocol。其中，Quest Receipts 使得用户更容易领取任务奖励，用户可以使用任务收据领取任务奖励，如果不想要任务奖励，可以在二级市场出售任务收据；白名单功能中，每个任务都是一个新新的智能合约。是否有资格获得新的任务完全取决于项目的需要，用户只会在符合条件的平台上看到任务。

此外，RabbitHole V2 从平台中移除 Skills，并通过向所有人开放任务来让 RabbitHole 易于访问。Quest Protocol 允许协议根据预定义条件指定白名单列表和分发奖励。[2023/2/17 12:12:59]

78.14165727ALCX

11.75154045ETH

0.59654637YFI

第二次攻击：取值错误导致的“假充值”漏洞

攻击概述

根据分析发现，攻击者在攻击合约中调用了THORChainRouter合约的deposit方法，传递的amount参数是0。然后攻击者地址发起了一笔调用攻击合约的交易，设置交易的value(msg.value)不为0，由于THORChain代码上的缺陷，在获取用户充值金额时，使用交易里的msg.value值覆盖了正确的Depositevent中的amount值，导致了“空手套白狼”的结果。

美股区块链概念股盘前走低 Marathon Digital跌近4%:1月7日消息，美股盘前，区块链概念股走低；Marathon Digital(MARA.US)跌3.55%；Coinbase(COIN.US)跌0.95%；Riot Blockchain(RIOT.US)跌2.20%，MicroStrategy(MSTR.US)跌0.12%。[2022/1/7 8:32:20]

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

2500ETH

57975.33SUSHI

8.7365YFI

171912.96DODO

514.519ALCX

1167216.739KYL

13.30AAVE

资金流向分析

慢雾AML团队分析发现，攻击者相关的钱包地址情况如下：

MistTrack反追踪系统分析发现，攻击者地址(0x4b7...c5a)给攻击者地址(0x3a1...031)提供了初始资金，而攻击者地址(0x4b7...c5a)的初始资金来自于混币平台TornadoCash转出的10ETH。

在攻击成功后，相关地址都把攻击获得的币转到地址(0xace...70e)。

该获利地址(0xace...70e)只有一笔转出记录：通过TornadoCash转出10ETH。

CRB社群关系经理Thomas：利用区块链技术降低未来能源消耗:据官方消息，11月11日CRB社群关系经理Thomas做客XT直播间，与XT AMA专栏主持人Joyce在XT官方英文群以及中文群内进行了在线AMA活动。

在谈及建立初衷时Thomas表示：“加密市场是一个每天都在增长的地方，这种增长带来了高能耗，所以我认为最大的问题是能源。能源是万物存在的原因。如果你把能源降到最低，一切都会变得更加自由，这就是CRB存在的目的。”

XT是一家社交化交易平台。[2021/11/11 6:46:15]

慢雾AML团队统计攻击者获利地址上的资金发现，官方的统计遗漏了部分损失：

2246.6SUSHI

13318.35DODO

110108KYL

243.929USDT

259237.77HEGIC

第三次攻击：退款逻辑漏洞

攻击概述

本次攻击跟第二次攻击一样，攻击者部署了一个攻击合约，作为自己的router，在攻击合约里调用THORChainRouter合约。

但不同的是，攻击者这次利用的是THORChainRouter合约中关于退款的逻辑缺陷，攻击者调用returnVaultAssets函数并发送很少的ETH，同时把攻击合约设置为asgard。然后THORChainRouter合约把ETH发送到asgard时，asgard也就是攻击合约触发一个deposit事件，攻击者随意构造asset和amount，同时构造一个不符合要求的memo，使THORChain节点程序无法处理，然后按照程序设计就会进入到退款逻辑。

比特币矿业公司Marathon从美国加密友好银行Silvergate获得1亿美元循环信贷额度:10月4日消息，比特币矿业公司 Marathon Digital Holdings 已从美国加密友好银行Silvergate获得1亿美元循环信贷额度，以比特币和美元为担保，这笔贷款将用于为公司的挖矿业务提供资金并购买新设备。它的有效期为一年，并且可以通过Silvergate银行和Marathon之间的协议每年续订。

此外，Marathon 公布了比特币生产和矿机安装更新，第三季度Marathon的比特币产量比上季度增加了91%，达到1252枚比特币，其持有的比特币总量增加到约7035枚比特币，公允市值约为3.363亿美元。Marathon称，目前为止已从比特大陆收到26960台顶级ASIC矿机，目前还有8459台ASIC矿机在运输途中，其目前的矿机数量为25272台活跃矿机，产量约为2.7EH/s。[2021/10/4 17:24:03]

(截图来自viewblock.io)

有趣的是，推特网友把这次攻击交易中的memo整理出来发现，攻击者竟喊话THORChain官方，表示其发现了多个严重漏洞，可以盗取ETH/BTC/LYC/BNB/BEP20等资产。

(图片来自https://twitter.com/defixbt/status/1418338501255335937)

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

966.62ALCX

20,866,664.53XRUNE

1,672,794.010USDC

56,104SUSHI

6.91YEARN

990,137.46USDT

资金流向分析

慢雾AML团队分析发现，攻击者相关的钱包地址情况如下：

MistTrack反追踪系统分析发现，攻击者地址(0x8c1...d62)的初始资金来源是另一个攻击者地址(0xf6c...747)，而该地址(0xf6c...747)的资金来源只有一笔记录，那就是来自于TornadoCash转入的100ETH，而且时间居然是2020年12月！

在攻击成功后，攻击者将资金转到了获利地址(0x651...da1)。

总结

通过以上分析可以发现，三次攻击的初始资金均来自匿名平台(ChangeNOW、TornadoCash)，说明攻击者有一定的“反侦察”意识，而且第三次攻击的交易都是隐私交易，进一步增强了攻击者的匿名性。

从三次攻击涉及的钱包地址来看，没有出现重合的情况，无法认定是否是同一个攻击者。从资金规模上来看，从第一次攻击到第三次攻击，THORChain被盗的资金量越来越大，从14万美金到近千万美金。但三次攻击获利的大部分资金都没有被变现，而且攻击间隔时间比较短，慢雾AML团队综合各项线索，推理认为有一定的可能性是同一人所为。

截止目前，三次攻击后，攻击者资金留存地址共有余额近1300万美元。三次攻击事件后，THORChain损失资金超1600万美元！

(被盗代币价格按文章发布时价格计算)

依托慢雾BTI系统和AML系统中近两亿地址标签，慢雾MistTrack反追踪系统全面覆盖了全球主流交易所，累计服务50客户，累计追回资产超2亿美金。(详见：慢雾AML升级上线，为资产追踪再增力量)。针对THORChain攻击事件，慢雾AML团队将持续监控被盗资金的转移，拉黑攻击者控制的所有钱包地址，提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。

跨链系统的安全性不容忽视，慢雾科技建议项目方在进行跨链系统设计时应充分考虑不同公链不同代币的特性，充分进行“假充值”测试，必要时可联系专业安全公司进行安全审计。

参考资料

****

THORChain官方复盘文章：

https://medium.com/thorchain/eth-parsing-error-and-exploit-3b343aa6466f

https://thearchitect.notion.site/THORChain-Incident-07-15-7d205f91924e44a5b6499b6df5f6c210

https://thearchitect.notion.site/THORChain-Incident-07-22-874a06db7bf8466caf240e1823697e35__

往期回顾

科普|加密货币，你中招了吗？(下)

慢雾招募令，加入未来的安全独角兽

梅开二度——PancakeBunny被黑分析

科普|加密货币，你中招了吗？(上)

假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞

慢雾导航

慢雾科技官网

https://www.slowmist.com/

慢雾区官网

https://slowmist.io/

慢雾GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

币乎

https://bihu.com/people/586104

知识星球

https://t.zsxq.com/Q3zNvvF

火星号

http://t.cn/AiRkv4Gz

链闻号

https://www.chainnews.com/u/958260692213.htm

免责声明：作为区块链信息平台，本站所发布文章仅代表作者个人观点，与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考，并非作为或被视为实际投资建议。

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布68篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/10216164.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

小冯：以太坊再战1700有望企稳黄金注意日线反弹信号

标签：CHAChainAINHAIquarkchain币周期在哪里hdachainAwardChainHealth care chain

屎币热门资讯