買比特幣 買比特幣
Ctrl+D 買比特幣
ads

ULT:?DAOrayaki:0xhabitat Multisig被盜取事件分析_APP

Author:

Time:1900/1/1 0:00:00

DAOrayakiDAO研究獎金池:

資助地址:DAOrayaki.eth

投票進展:DAOCommittee/7通過

賞金總量:90USDC

研究種類:DAO,0xhabitatMultisig,safety

原文作者:?LukasSchor

原文標題:The0xhabitatMultisigGotDrained:AnAnalysis

分析:0xhabitatMultisig被盜取

一位GnosisSafe用戶遭遇了嚴重且復雜的網絡釣魚攻擊,導致該項目的Multisig被抽干。

重要提示:我們當前的分析表明,這是針對特定GnosisSafe用戶的針對性攻擊,我們沒有跡象表明此攻擊還會影響任何其他用戶。該攻擊也沒有利用任何智能合約漏洞,而是使用網絡釣魚技術讓Multisig所有者簽署惡意交易。

這篇博文旨在闡明0xhabitat事件并詳細說明從中學到的東西。為了使這份事故報告完全客觀,我們只包含了我們在鏈上和通過我們的后端收集的第一手數據。可以在此處閱讀0xhabitat團隊的觀點。首先,讓我們從分析發生的事情開始……

土耳其總統候選人Kemal K?l??daro?lu:將在上臺后擴大Web3平臺采用:5月14日消息,2023年土耳其總統候選人、土耳其最大反對黨領袖Kemal K?l??daro?lu表示將在上臺后取消對PayPal的禁令并擴大Web3平臺采用,K?l??daro?lu還批評了土耳其央行禁止在國內使用加密貨幣作為支付方式的決定。

土耳其現任總統埃爾多安曾在2021年9月份推出反對加密貨幣的政策,但由于土耳其通脹一直居高不下,該國一直位于全球加密采用率前列。(Rossaprimavera)[2023/5/14 15:02:00]

特洛伊木馬

本次事件的主要來源是兩個模仿以下官方GnosisSafe智能合約的惡意合約:

SafeSingleton:這是核心邏輯合約。每個Safe都是指向特定SafeSingleton的代理合約。Safes可以由其用戶升級以指向一個新的Singleton,例如添加功能。

SafeMultisend:這是一種中介智能合約,使Safes能夠將多個交易合并為一個。

德國上市礦企Northern?Data否認市場操縱指控:德國比特幣礦商Northern?Data否認市場操縱指控。(金十)[2021/10/6 20:08:07]

在本文中,惡意合約將被稱為EvilSingleton和EvilMultisend。EvilMultisend合約于11月23日在此地址部署。合約的特殊之處在于,它不僅允許批量交易,還可以在同一筆交易中更改Safe的Singleton。同一天,EvilSingleton被部署在這個地址。EvilSingleton充當特洛伊木馬程序,最初將所有交互轉發到原始Singleton,但有一個后門,使第三方能夠訪問Safe。

這是一個陷阱!

0xhabitat的故事開始于EvilMultisend合約部署后幾個小時。在與EvilMultisend合約交互的0xhabitatMultisig中提出了一項交易。對于所有相關方來說,它看起來就像是使用TransactionbuilderSafeApp進行的常規批量交易。然而,這是一個精心設計的交易,乍一看,它看起來像一個普通的Multisend交易,但實際上,它也將Safe的Singleton更新為EvilSingleton。

分析 | 昨日TRON?Dapp活躍用戶和交易筆數均將至近三月最低:據RatingDapp和RatingToken大數據監測顯示,昨日EOS/ETH/TRON三大主流公鏈平臺Dapp活躍用戶分別EOS(124652)>TRON(33474)>ETH(19653),其中TRON?同比三個月前下降53.64%,達到近三月最低;EOS下降20.77%;ETH上漲51.26%。從交易筆數來看,昨日三大公鏈平臺Dapp交易筆數大于零共計146款,EOS?Dapp交易筆數4358522,同比三個月前上升9.87%;ETH Dapp交易筆數93863,同比上升46.21%;TRON?Dapp交易筆數414205,同比下降71.77%,降至近三月最低值。[2019/6/28]

可以在此處找到有關激活EvilSingleton的更多技術細節。

轉折點

Safe升級到EvilSingleton后,7天內什么都沒有發生。與此同時,0xhabitat金庫逐漸增長到價值100萬美元的數字資產。很明顯,攻擊者在執行實際攻擊之前希望蜜罐變大,希望他們的后門之前沒有被發現。11月30日,攻擊開始。黑客創建了一個交易,激活了EvilSingleton,允許第三方賬戶完全控制保險箱中的資產。

動態 | 近一周EOS/ETH/TRON?Dapp周交易筆數大于100,000有45款:據RatingDapp和RatingToken大數據監測顯示,最近一周,?EOS/ETH/TRON三大主流公鏈平臺Dapps?周交易筆數大于100,000有45款(EOS 36款,ETH無,TRON 9款),環比上周下降2.2%,其中類28款、游戲5款、市場類5款、風險類1款、其他類型6款,以類Dapp為主;從周新增用戶來看,最近一周,有4款Dapp新增用戶大于10,000,分別為ADM(18514)、Fishing Master(16377)、Win.town(16364)、TRON Hi-Lo(16357),其中Fishing Master、Win.town、TRON Hi-Lo三款Dapp近幾個月來,周新增用戶均大于10,000。[2019/5/13]

資金被抽干

在EvilSingleton被激活后僅30分鐘,攻擊者就能夠將所有資金提取到他們的賬戶中。隨后,攻擊者通過Uniswap和Sushiswap將所有資產轉換為ETH。然后通過多筆交易將生成的ETH發送到TornadoCash合約,這是路徑的終點。

動態 | 昨日EOS?Dapp日活躍為ETH近10倍 交易額大于4倍:據RatingDapp和RatingToken大數據監測顯示,昨日,ETH?Dapp生態活躍Dapps(活躍用戶大于0)有256款,日活躍用戶14844個,日交易筆數83760次,日交易額為3945845.47美元,其中交易筆數最高的Dapp為IDEX,占總交易筆數的15.05%;EOS?Dapp生態活躍Dapps有232款,日活躍用戶143148個,日交易筆數3622610次,日交易額為16336747.84美元,其中交易筆數最高的Dapp為HASH BABY,占總交易筆數的26.32%。RatingToken分析師認為,EOS抓住類Dapp爆發紅利期,活躍用戶和交易數據均領先于ETH,但不排除EOS存在群控賬號刷量的可能;ETH頭部?Dapp去中心交易所占比較高,各類型Dapp占比更為合理,更利于生態健康發展。[2019/5/10]

那么,究竟發生了什么?

從我們目前收集到的信息來看,很明顯Multisig中的一個簽名者密鑰被泄露了。這是因為導致后門實施的惡意交易是由Multisig的簽名者根據我們的后端數據提出的。雖然無法準確確定這是如何實現的,但有兩大類事件可能導致了這種情況。

網絡釣魚

有幾種方式可能會誤導所有者,導致其提出導致損害0xhabitatMultisig安全性的交易。可能的選項包括:

流氓瀏覽器擴展:瀏覽器擴展方便,但也有風險。由于擴展可以自由修改Web應用程序的任何內容。因此,欺詐性瀏覽器擴展程序可能已被用于修改GnosisSafeWeb界面,以欺騙用戶提出惡意交易。

惡意接口:如此文所述,GnosisSafe的安全性取決于用于與帳戶交互的接口的完整性。受影響的0xhabitat用戶可能已經與模仿官方GnosisSafe界面的界面進行了交互,但通過將常規交易的目標地址更改為EvilMultisend合約來有效地創建惡意交易。

供應鏈攻擊/受損網站:雖然問題的根源可能是對官方GnosisSafe軟件的惡意收購,但我們目前的評估表明情況并非如此。所有信號都表明這是對0xhabitatMultisig的針對性攻擊,而不是官方GnosisSafe界面的普遍問題。但是,我們也在繼續調查和觀察這方面的情況。

惡意所有者

第二個假設選項是所有者沒有被誘騙提出惡意交易,而是自愿提出的。Multisig中的兩個簽名者之一欺騙另一方簽署欺詐性交易,導致Multisig遭到破壞。我們沒有理由懷疑0xhabitat團隊的完整性。但是為了在我們的分析中進行徹底的分析,我們仍然必須考慮這是對事件的可行解釋。

GnosisSafe團隊的經驗教訓

在我們仍在分析此事件的同時,我們已經立即采取了一些措施來減輕未來的類似攻擊。所有這些更改都作為修補程序實施。

暴露multisend地址

為了能夠驗證交易中使用了哪個multisend合約,SafeWebUI顯式顯示了multisend合約地址。閱讀詳情。

驗證接口完整性:惡意接口可以通過欺騙共同簽名者簽署惡意交易來危及Multisig的整個安全性。如果您使用GnosisSafeWeb應用程序,請確保為官方應用程序的鏈接添加書簽并驗證URL和安全證書。或者更好的是,開始使用GnosisSafeDesktop應用程序。

不要只相信一個信息源:我們強烈建議使用額外的獨立客戶端/接口來詳細檢查每筆交易。例如,使用GnosisSafe移動應用程序在簽名前仔細檢查交易。這可以防止單個受損接口誘使用戶簽署惡意交易。

小心DelegateCall:DelegateCall是一個強大的工具,例如,它允許Safes批處理交易。但這也伴隨著巨大的風險。因此,在識別使用DelegateCall的交易時,GnosisSafe用戶應該特別注意。驗證交易數據時,請驗證使用了正確的Multisend目標地址。可以在此列表中找到經過Gnosis驗證的Multisend實現。

減少瀏覽器擴展的使用:雖然方便,但瀏覽器擴展可能成為關鍵的攻擊媒介,甚至可以欺騙最高級的用戶。我們通常建議不要在用于與GnosisSafeWeb應用程序交互的瀏覽器中使用任何瀏覽器擴展。

創始人HughKarp也遭受了利用惡意瀏覽器擴展的攻擊

結論

為個人和組織構建合適的工具以在Web3中保持安全是我們使命的核心。這就是為什么我們很遺憾聽到0xhabitat團隊資金被盜的原因。我們希望團隊和社區從這種不幸的情況中一切順利,并希望最終能確定攻擊者并退還資金。

參考資料

https://etherscan.io/address/0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

https://etherscan.io/address/0x09afae029d38b76a330a1bdee84f6e03a4979359

https://bafybeiat2xp7cicrlpq3h57wdnz4pzaoby2cx62c3lprh3lzgrworcitly.ipfs.infura-ipfs.io/Exploit_Info.pdf

https://blog.gnosis.pm/the-impact-of-phishing-on-web-3-0-a62385c81310

https://github.com/gnosis/safe-react/issues/3091

https://github.com/gnosis/safe-react/issues/3090

Tags:SAFEULTAPPULTISAFEP價格ult幣今日行情hope幣app下載MultiPad

酷幣下載
USDT:每日行情解讀 | 加密資產與股票市場聯動增強,BTC短線仍有反彈空間_Aave USDC

國際貨幣基金組織在最新報告中指出,加密資產與股票市場的聯動性很強,而且在日益增加。鮑威爾表示,私人穩定幣可以與數字美元共存.

1900/1/1 0:00:00
LIBRA:美國兩黨議員呼吁CFTC加強加密貨幣監管_FTC

巴比特訊,1月12日,美國一群兩黨議員呼吁美國衍生品監管機構CFTC采取更多措施來監管加密貨幣,這對于那些希望該機構發揮更大作用的行業管理人士來說可能是個好消息.

1900/1/1 0:00:00
LOOKS:LooksRare (LOOKS)_sETH2價格

一、項目介紹 LooksRare是社區優先的NFT市場,參與即可獲得獎勵。 二、幣種信息 Lookonchain:某聰明錢地址分別在PEPE獲得36倍收益、在LADYS獲得35倍收益:金色財經報.

1900/1/1 0:00:00
TOK:ZT創新板即將上線DV_DEX

親愛的ZT用戶: ZT創新板即將上線DV,並開啟DV/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年1月11日18:00; DV 項目簡介:Dreamverse是一個高度逼.

1900/1/1 0:00:00
DUSK:幣安寶上線 DUSK、PIVX、VITE 理財產品,年化高達60%_pivx幣是公鏈

親愛的用戶:“幣安寶”現已上線DUSK、PIVX、VITE定期理財活動,為用戶提供閑置數字資產增值服務.

1900/1/1 0:00:00
DAO:A16z 發布監管建議:未來重塑Web3.0的10條原則(原文)_ElonDoge DAO

原文作者:A16z 原文編譯:白澤研究院 在Coinbase、FTX和Binance相繼提出加密監管愿景之后.

1900/1/1 0:00:00
ads