火星链 火星链
Ctrl+D收藏火星链
首页 > Luna > 正文

ETH:环环相扣 —— Gnosis Safe Multisig 用户被黑分析

作者:

时间:1900/1/1 0:00:00

By:Victory@慢雾安全团队

2021年12?3?,据慢雾区情报,?位GnosisSafe?户遭遇了严重且复杂的?络钓?攻击。慢雾安全团队现将简要分析结果分享如下。

相关信息

攻击者地址1:

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻击者地址2:

0x26a76f4fe7a21160274d060acb209f515f35429c

恶意逻辑实现合约ETH地址:

0x09afae029d38b76a330a1bdee84f6e03a4979359

恶意合约ETH地址MultiSendCallOnly合约:

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

受攻击的代理合约地址:

0xc97f82c80df57c34e84491c0eda050ba924d7429

逻辑合约地址:

Web3和AI数据库平台EdgeIn正以800万美元估值进行150万美元Pre-Seed轮融资:8月4日消息,Web3和AI数据库平台EdgeIn正以800万美元的公司估值进行150万美元Pre-Seed轮融资,目前已经筹集到40万美元,天使投资人包括Mike Dinsdale(Akkadian Ventures、DocuSign、DoorDash、Gusto)、Mike Borozdin(DocuSign、Google)、Jeremy Clover(Circle)、Pedram Amini、Bayo Okusanya和Ulises Merino Nú?ez。

EdgeIn旨在进一步提升Web3公司、资金、组织管理和其他数据的透明度,目前已对超过90%的Web3市场融资和公司信息进行了索引,并已列出约50,000个Web3公司和项目。[2023/8/5 16:19:44]

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall合约ETH地址:

0x40a2accbd92bca938b02010e17a5b8929b49130d

CZ:币安U本位期货合约服务/API问题已解决:4月10日消息,CZ发推称,币安U本位期货合约服务/API问题已解决,此前出现的问题由服务器问题导致,目前团队已将服务迁移至其他服务器。

据此前报道,CZ发推称,币安期货UM Rest服务/API的一些问题,影响到了UI和API。只有U本位(USD-Margined)期货合约受到影响,币本位(COIN-Margined)期货合约未发现问题。[2023/4/10 13:54:40]

攻击交易:

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

攻击步骤

第一步:攻击者先是在9天前部署了恶意MultiSendCall,并且验证了合约代码让这个攻击合约看起来像之前真正的MultiSendCall。

欧易Web3钱包插件端上线zkSync 2.0 测试网:据欧易OKX官网消息,欧易 Web3 钱包插件端已于 2022 年 11 月 25日 14:00 (HKT) 上线 zkSync 2.0 测试网。用户可在插件钱包设置页中开启“自定义网络”,体验测试网生态。同时,钱包内集成目前主流的测试币水龙头,用户可快速领取测试币。

此外,欧易Web3钱包当前支持 Goerli、Sepolia 等测试网络,插件钱包可在Google Chrome、Firefox、Microsoft Edge、Brave浏览器中使用。[2022/11/26 20:46:46]

第二步:攻击者通过钓??段构造了?个指向恶意地址calldata数据让?户进?签名。calldata??正确的to地址应该是?0x40a2accbd92bca938b02010e17a5b8929b49130d,现在被更改成了恶意合约?ETH地址?MultiSendCallOnly合约0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

基于Cosmos的DeFi协议Onomy完成1000万美元融资:金色财经报道,基于Cosmos的DeFi协议Onomy完成1000万美元融资,参投方包括Bitfinex、GSR Markets、Ava Labs、CMS Holdings和DWF Labs等。本轮融资旨在扩大团队规模。Onomy旨在融合DeFi和外汇市场,其产品包括Layer1区块链网络和跨链桥,以及名为Onex的去中心化交易所和非托管钱包。Onomy的主网将在未来几天启动。(the block)[2022/11/23 8:01:42]

由于攻击者获取的签名数据是正确的,所以通过了验证多签的阶段,之后就开始执?了攻击合约的multiSend函数

元宇宙沙盒游戏平台Roblox或将登陆Meta Quest 2:金色财经报道,据Bloxy News近日在社交媒体上披露,元宇宙沙盒游戏平台Roblox或将登陆Meta Quest 2。Bloxy News在推特上写道:“准备好以一种全新的、令人身临其境的方式体验元宇宙吧。Roblox很快就将正式登陆另一款设备……有人能猜到它是什么吗?Bloxy News在推文配图中使用了Roblox和Oculus的徽标,图片下方还添加了“Meta Quest”的标签。但截至目前,Meta官方还没有对这一传闻发表任何评论。[2022/6/20 4:40:35]

这时候通过查看攻击合约我们发现此处的修饰器Payable有赋值的情况存在。这时候我们通过对源码的反编译发现:

当payment.version<VERSION这个条件触发的时候每次调?的时候都会对storage进?重新赋值。这个storage是不是特别眼熟?没错我们来看下Proxy合约。

当这笔交易执?完毕时Proxy的storage已经变成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于Proxy合约执?的逻辑合约地址masterCopy是从storage读取的,所以Proxy指向的逻辑合约会被攻击者更改为攻击合约。后续攻击者只需等待?户把?够的代币放?此合约,之后构造转账函数把钱取?即可。

我们分析了受攻击的合约的交易记录后,发现该攻击者?常狡猾。

攻击者为了避免被发现,在攻击合约中的逻辑中还实现了保证?户依然能正常使?相关的功能。

反编译攻击者的逻辑合约发现,在攻击合约的逻辑保证了攻击者动?前?户都可以正常使?多签功能。只有当攻击者??调?的时候才会绕过验证直接把?户的钱取?。

MistTrack分析

经MistTrack反追踪系统分析发现,攻击者地址1在11?23号开始筹备,使?混币平台Tornado.Cash获得初始资?0.9384ETH,在?分钟后部署了合约,然后将0.8449ETH转到了攻击者地址2。

攻击成功后,攻击者地址2通过Uniswap、Sushiswap将获利的HBT、DAI等代币兑换为ETH,最后将56.2ETH转到混币平台TornadoCash以躲避追踪。

总结

本次攻击先是使?了钓??段获取了?户的?次完整的多签数据,在利?了delegatecall调?外部合约的时候,如果外部合约有对数据进?更改的操作的话,会使?外部合约中变量存储所在对应的slot位置指向来影响当前合约同?个slot的数据。通过攻击合约把代理合约指向的逻辑指向??的攻击合约。这样就可以随时绕过多签把合约的钱随时转?。

经过分析本次的事件,?概率是?客团队针对GnosisSafeMulti-sig应?的?户进?的钓?攻击,0x34cfac64这个正常的逻辑合约是GnosisSafe官?的地址,攻击者将这个地址硬编码在恶意合约中,所以这?系列的操作是适?于攻击所有GnosisSafeMulti-sig应?的?户。此次攻击可能还有其他受害者。慢雾安全团队建议在访问GnosisSafeMultisig应?的时候要确保是官?的?站,并且在调?之前要仔细检查调?的内容,及早的识别出钓??站和恶意的交易数据。

标签:ULTULTIMULTIETHMilady Vault (NFTX)ULTI价格MultiVACethylethanoate

Luna热门资讯
CBR:俄罗斯中央银行计划在1月假期后开始对CBDC进行试点

据Bitcoin.com12月23日消息,俄罗斯中央银行正在准备一份报告,详细阐述其对加密货币的看法.

1900/1/1 0:00:00
BDC:国际清算银行创新中心与美联储合作支持数字资产分析

纽约联邦储备银行宣布,其将与国际清算银行(BIS)创新中心(InnovationHub)合作,作为其纽约创新中心(NewYorkInnovationCenter)启动计划的一部分.

1900/1/1 0:00:00
NFT:百威官方推特账户更名为beer.eth

DeFi之道讯,10月29日,百威官方推特账户已更名为beer.eth。百威此前宣布以高达30ETH的价格购买了Beer.eth域名,并尝试进军NFT市场与NFT媒体商店VaynerNFT达成了.

1900/1/1 0:00:00
比特币:Kelly Strategic Management提交以太坊期货ETF申请,分析师称获批几率可能只有20%

总部位于丹佛的投资公司KellyStrategicManagement已提交了一份交易所交易基金(ETF)申请,提供以太坊期货合约的风险敞口.

1900/1/1 0:00:00
WEB:Web3.0是下一代互联网?还是马斯克口中的「胡说八道」

文章源自元宇宙见闻编辑|Mamie昨日,马斯克在推特上回复美国创业孵化器YCombinator总裁SamAltman称——“Web3听起来像是胡说八道.

1900/1/1 0:00:00
MOR:专访NFT艺术家|Morteza Yousefi:NFT=艺术x品牌

Bytom:大家好!今天很荣幸邀请到MortezaYousefi参与我们的访谈。他是一位摄影师和3D艺术家,受邀讨论加密货币和他令人兴奋的NFT之旅,以及关于在NFT时代成为加密货币艺术家的任何.

1900/1/1 0:00:00