老虎證券

UXLINK被盜約1130萬美元技術分析

鏈捕手
09/24

事件描述

9月23日,UXLINK項目多簽名錢包私鑰泄漏,導致約1130萬美元資產的加密貨幣被盜取,並已被分散轉移至多箇中心化(CEX)和去中心化(DEX)交易所。在被攻擊的第一時間,我們與UXLINK一起調查分析這起攻擊以及監控了資金流動。UXLINK緊急聯繫各大交易所請求凍結可疑資金,已向警方及相關機構報案以尋求法律支持和資產追回,黑客的大部分資產已被各大交易所標記凍結,從而最大程度地降低了社區面臨的進一步風險。項目方承諾將對社區保持透明,ExVul也將持續分析跟進事件進展。

https://x.com/UXLINKofficial/status/1970181382107476362)

最新進展

在黑客資金流轉過程中,流入交易所的資金已被凍結。通過初步鏈上追蹤發現,此前盜取UXLINK資產的黑客,疑似遭遇Inferno Drainer釣魚攻擊。經覈實,其非法獲取的約5.42億枚$UXLINK代幣已被「授權釣魚」手法竊取。

黑客被釣魚交易: https://arbiscan.io/tx/0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee

未經授權的1B $UXLINK鑄幣: https://arbiscan.io/tx/0x2466caf408248d1b6fc6fd9d7ec8eb8d8e70cab52dacff1f94b056c10f253bc2

攻擊分析

  1. 此前合約因多籤Owner存在惡意操作或私鑰泄露問題,致使惡意地址被添加為多籤賬戶,同時合約的簽名閾值(threshold)被重置為1,即只需單一賬戶簽名即可執行合約操作。黑客設定了新的Owner地址為0x2EF43c1D0c88C071d242B6c2D0430e1751607B87。

(https://arbiscan.io/tx/0x8504a830e7a7a1ca0308a71130efdebddd78b90a1dcc8a64d7c1d86261754689)

  1. 攻擊者首先調用Gnosis Safe Proxy合約中的execTransaction函數。該函數成為惡意移除多籤成員的入口,後續所有惡意操作均在此次交易的內部被執行。

(https://arbiscan.io/address/0x7715200141cfd94570bc9d97260ec974ee747972#code)

  1. 在調用execTransaction時,攻擊者在其data參數中指定了一個惡意操作:通過delegatecall方式調用Safe: Multi Send Call Only 1.3.0實現合約。

(https://arbiscan.io/address/0x40a2accbd92bca938b02010e17a5b8929b49130d)

  1. 在Safe: Multi Send Call Only 1.3.0的multiSend函數中,執行流回調至Gnosis Safe Proxy合約的removeOwner。具體過程為:攻擊者先通過對代理合約執行的delegatecall調用了MultiSend實現合約,使其在代理合約的上下文中運行 multiSend;隨後,multiSend根據攻擊者構造的參數,以call方式回調Gnosis Safe Proxy合約自身並觸發removeOwner函數,從而移除既有的Owner地址。

(https://arbiscan.io/address/0x40a2accbd92bca938b02010e17a5b8929b49130d#code)

  1. 調用能夠成功的核心在於滿足條件msg.sender == address(this)。在removeOwner函數中,為了防止外部直接調用,合約設定了authorized驗證,其內部邏輯通常要求調用者必須是合約自身 (msg.sender == address(this))。因此,只有當合約內部流程回調自身時,removeOwner纔會被成功執行。

  1. 黑客通過上述手法逐一刪除多籤中的其他Owner,破壞多籤機制並最終接管合約。

  1. 至此,攻擊者通過不斷重複上述步驟,導致原有的多籤安全機制徹底失效。此時,僅憑單一惡意Owner的簽名即可通過多籤驗證,從而實現對合約的完全控制。

(https://arbiscan.io/txs?a=0x2ef43c1d0c88c071d242b6c2d0430e1751607b87&p=2)

總結

由於多籤Owner存在惡意操作或私鑰泄露,攻擊者將惡意地址添加為多籤成員,並將Gnosis Safe Proxy的簽名閾值(threshold)設定為1,致使原有的多籤安全設計徹底失效。此後,單一惡意Owner即可通過多籤驗證。攻擊者繼而逐步移除合約中的其他Owner,最終實現對合約的完全控制,並進一步轉移合約資產,在鏈上惡意鑄造$UXLINK代幣。

本次攻擊事件凸顯了多籤管理在區塊鏈安全中的關鍵作用。儘管該項目採用了Safe多籤機制並配置了多個多籤賬戶,但由於管理方式存在缺陷,最終使多籤設計形同虛設。ExVul團隊建議,項目方在多籤管理上應儘量實現分散化,例如由不同成員分別保管私鑰,並採取多樣化的私鑰存儲方式,從而確保多籤機制真正發揮應有的安全防護效果。

附錄

以下為ExVul團隊鏈上追蹤到的疑似黑客地址:

免責聲明:投資有風險,本文並非投資建議,以上內容不應被視為任何金融產品的購買或出售要約、建議或邀請,作者或其他用戶的任何相關討論、評論或帖子也不應被視為此類內容。本文僅供一般參考,不考慮您的個人投資目標、財務狀況或需求。TTM對信息的準確性和完整性不承擔任何責任或保證,投資者應自行研究並在投資前尋求專業建議。

熱議股票

  1. 1
     
     
     
     
  2. 2
     
     
     
     
  3. 3
     
     
     
     
  4. 4
     
     
     
     
  5. 5
     
     
     
     
  6. 6
     
     
     
     
  7. 7
     
     
     
     
  8. 8
     
     
     
     
  9. 9
     
     
     
     
  10. 10