MULTI:環環相扣 —— Gnosis Safe Multisig 用戶被黑分析_ULT

By：Victory@慢霧安全團隊

2021年12?3?，據慢霧區情報，?位GnosisSafe?戶遭遇了嚴重且復雜的?絡釣?攻擊。慢霧安全團隊現將簡要分析結果分享如下。

相關信息

攻擊者地址1：

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻擊者地址2：

0x26a76f4fe7a21160274d060acb209f515f35429c

惡意邏輯實現合約ETH地址：

0x09afae029d38b76a330a1bdee84f6e03a4979359

惡意合約ETH地址MultiSendCallOnly合約：

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

歐盟、德國銀行業協會聯合發起Tokenise Europe 2025倡議:2月8日消息，Tokenise Europe 2025旨在推動采用Token化，使歐盟成為該領域的領跑者并保護其主權。它由歐盟委員會與德國銀行協會共同創立，咨詢公司Roland Berger提供支持。迄今為止，已有20家公司加入了該協會，其中德國、西班牙和列支敦士登處于領先地位。涉及四家全球性銀行——BBVA、德國商業銀行、德意志銀行和桑坦德銀行——以及少數幾家大型工業公司，如戴姆勒卡車、雷諾和雷普索爾。除了德國銀行業協會外，意大利和列支敦士登的同行以及支付公司Iberpay和Worldline也參與其中。（Ledger Insights）[2023/2/9 11:55:32]

受攻擊的代理合約地址：

0xc97f82c80df57c34e84491c0eda050ba924d7429

SBF名下此前掛牌出售的華盛頓特區聯排別墅已從市場下架:2月5日消息，此前以328萬美元掛牌出售的Sam Bankman-Fried（SBF）名下位于華盛頓特區的聯排別墅，因是挪用客戶資金購買而被要求從市場上下架。

財產記錄顯示，該房產由SBF的兄弟Gabriel創立的非營利組織 Guarding Against Pandemics 持有，該組織使用該公司認為被挪用的客戶資金購買了價值數百萬美元的資產。該房產的銷售代理人表示，目前該房產還未收到過任何的正式購買報價。（《華爾街日報》）[2023/2/5 11:48:29]

邏輯合約地址：

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall合約ETH地址：

0x40a2accbd92bca938b02010e17a5b8929b49130d

CME“美聯儲觀察”：美聯儲明年2月加息25個基點的概率為71.8%:金色財經報道，據CME“美聯儲觀察”，美聯儲明年2月加息25個基點至4.50%-4.75%區間的概率為71.8%，加息50個基點的概率為28.2%；到明年3月累計加息25個基點的概率為18.8%，累計加息50個基點的概率為60.4%，累計加息75個基點的概率為20.8%。[2022/12/30 22:15:29]

攻擊交易：

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

攻擊步驟

第一步：攻擊者先是在9天前部署了惡意MultiSendCall，并且驗證了合約代碼讓這個攻擊合約看起來像之前真正的MultiSendCall。

數據：加密基金投資仍由美國主導，占比60%:金色財經報道，數據顯示，82.4%的加密基金來自十個國家，其中美國以419筆基金為首，占比60%，排在第二位的是英國，有51只基金，其次是中國，有46只，這三個國家的基金資產管理規模超過5000億。該數據庫跟蹤來自世界各地的近900種不同加密基金的列表，數據庫還顯示，大多數基金是風險投資基金，占52.8%，其次是對沖基金，占44.3%，然后是私募股權和共同基金，占2.9%。（Cointelegraph）[2022/11/29 21:08:22]

第二步：攻擊者通過釣??段構造了?個指向惡意地址calldata數據讓?戶進?簽名。calldata??正確的to地址應該是?0x40a2accbd92bca938b02010e17a5b8929b49130d，現在被更改成了惡意合約?ETH地址?MultiSendCallOnly合約0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

傳蘋果將推出專屬“獨特元宇宙品牌”，已啟動開發元宇宙體驗應用:金色財經報道，有消息稱蘋果公司將在10月18日發布全新元宇宙頭顯設備，該設備擬使用M2處理器并配備更廣泛的攝像頭和傳感器，而且還能追蹤用戶的腿部運動，并且用視網膜掃描作為登陸、支付的生物識別安全保障，在外屏處顯示佩戴者的面部表情、為眼鏡佩戴者提供定制化的卡扣式佩戴解決方案等。此外，據傳蘋果公司已經開始構建RealityOS操作系統，以及地圖和FaceTime等具有元宇宙體驗的應用程序、消費媒體和游戲，但由于蒂姆·庫克已經公開表示自己不喜歡“元宇宙”這個詞，所以他們很可能會推出一個專屬的“獨特品牌”。（Decrypt）[2022/10/17 17:28:53]

由于攻擊者獲取的簽名數據是正確的，所以通過了驗證多簽的階段，之后就開始執?了攻擊合約的multiSend函數

這時候通過查看攻擊合約我們發現此處的修飾器Payable有賦值的情況存在。這時候我們通過對源碼的反編譯發現：

當payment.version<VERSION這個條件觸發的時候每次調?的時候都會對storage進?重新賦值。這個storage是不是特別眼熟？沒錯我們來看下Proxy合約。

當這筆交易執?完畢時Proxy的storage已經變成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于Proxy合約執?的邏輯合約地址masterCopy是從storage讀取的，所以Proxy指向的邏輯合約會被攻擊者更改為攻擊合約。后續攻擊者只需等待?戶把?夠的代幣放?此合約，之后構造轉賬函數把錢取?即可。

我們分析了受攻擊的合約的交易記錄后，發現該攻擊者?常狡猾。

攻擊者為了避免被發現，在攻擊合約中的邏輯中還實現了保證?戶依然能正常使?相關的功能。

反編譯攻擊者的邏輯合約發現，在攻擊合約的邏輯保證了攻擊者動?前?戶都可以正常使?多簽功能。只有當攻擊者??調?的時候才會繞過驗證直接把?戶的錢取?。

MistTrack分析

經MistTrack反洗錢追蹤系統分析發現，攻擊者地址1在11?23號開始籌備，使?混幣平臺Tornado.Cash獲得初始資?0.9384ETH，在?分鐘后部署了合約，然后將0.8449ETH轉到了攻擊者地址2。

攻擊成功后，攻擊者地址2通過Uniswap、Sushiswap將獲利的HBT、DAI等代幣兌換為ETH，最后將56.2ETH轉到混幣平臺TornadoCash以躲避追蹤。

總結

本次攻擊先是使?了釣??段獲取了?戶的?次完整的多簽數據，在利?了delegatecall調?外部合約的時候，如果外部合約有對數據進?更改的操作的話，會使?外部合約中變量存儲所在對應的slot位置指向來影響當前合約同?個slot的數據。通過攻擊合約把代理合約指向的邏輯指向??的攻擊合約。這樣就可以隨時繞過多簽把合約的錢隨時轉?。

經過分析本次的事件，?概率是?客團隊針對GnosisSafeMulti-sig應?的?戶進?的釣?攻擊，0x34cfac64這個正常的邏輯合約是GnosisSafe官?的地址，攻擊者將這個地址硬編碼在惡意合約中，所以這?系列的操作是適?于攻擊所有GnosisSafeMulti-sig應?的?戶。此次攻擊可能還有其他受害者。慢霧安全團隊建議在訪問GnosisSafeMultisig應?的時候要確保是官?的?站，并且在調?之前要仔細檢查調?的內容，及早的識別出釣??站和惡意的交易數據。

Tags：ULTIULTETHMULTImulti幣融資ult幣行今日價格togetherbnb手游下載蘋果COFFE Multichain

BNB