DAOrayakiDAO研究奖金池:
资助地址:DAOrayaki.eth
投票进展:DAOCommittee/7通过
赏金总量:90USDC
研究种类:DAO,0xhabitatMultisig,safety
原文作者:?LukasSchor
原文标题:The0xhabitatMultisigGotDrained:AnAnalysis
分析:0xhabitatMultisig被盗取
一位GnosisSafe用户遭遇了严重且复杂的网络钓鱼攻击,导致该项目的Multisig被抽干。
重要提示:我们当前的分析表明,这是针对特定GnosisSafe用户的针对性攻击,我们没有迹象表明此攻击还会影响任何其他用户。该攻击也没有利用任何智能合约漏洞,而是使用网络钓鱼技术让Multisig所有者签署恶意交易。
这篇博文旨在阐明0xhabitat事件并详细说明从中学到的东西。为了使这份事故报告完全客观,我们只包含了我们在链上和通过我们的后端收集的第一手数据。可以在此处阅读0xhabitat团队的观点。首先,让我们从分析发生的事情开始……
明星投资人Kevin O'Leary计划投资加密矿企股票:1月18日消息,明星投资人Kevin O'Leary公布了投资矿企股票的计划。在接受Anthony Pompliano的采访时,O'Leary分享了他最近在中东寻找投资比特币挖矿方式的经历。根据他的说法,中东的投资者正在寻找“主权挖矿业务”。
O'Leary还预测,在未来2-3年,主权基金可能会决定投资比特币挖矿。然而,他也指出,这些基金将选择使用可持续能源的矿企。由于环境争议,挖矿业务的生态友好性对投资者来说是一个至关重要的决定因素。
O'Leary还表示,他有兴趣开设自己的挖矿业务。不过,他解释说,在这一切发生之前,他正在考虑诸多因素。他表示,除了政府批准外,还必须得到挖矿业务所在社区的居民首肯。(Cointelegraph)[2022/1/18 8:57:09]
特洛伊木马
本次事件的主要来源是两个模仿以下官方GnosisSafe智能合约的恶意合约:
SafeSingleton:这是核心逻辑合约。每个Safe都是指向特定SafeSingleton的代理合约。Safes可以由其用户升级以指向一个新的Singleton,例如添加功能。
声音 | 徐明星:区块链技术是一种数据库科学 兼有工具性和颠覆性两种应用体质:欧科集团创始人、董事长兼CEO,中国区块链应用研究中心创始理事长徐明星今日在活动活动中发表演讲表示,区块链技术并非神奇秘术,相反它是一种”分布式不可逆“的数据库科学。其次, 区块链兼有两种应用体质,一种是工具性,一种是颠覆性。与互联网时代相似,区块链的工具性应用已经很多,未来可能还会更多。他还表示,在区块链之上也有很多颠覆性应用正在出现,只不过作为一种新的技术,它的颠覆性应用我们还无法认知它。今天的区块链在世界上各行各业里已经有很多的应用。比如说,像数字货币、比特币、以太坊、基于区块链技术构建一种新的虚拟商品等等。最后,徐明星认为区块链亦不是洪水猛兽,政府对于区块链是可以有强有力的控制体系的。(星球日报)[2019/12/26]
SafeMultisend:这是一种中介智能合约,使Safes能够将多个交易合并为一个。
在本文中,恶意合约将被称为EvilSingleton和EvilMultisend。EvilMultisend合约于11月23日在此地址部署。合约的特殊之处在于,它不仅允许批量交易,还可以在同一笔交易中更改Safe的Singleton。同一天,EvilSingleton被部署在这个地址。EvilSingleton充当特洛伊木马程序,最初将所有交互转发到原始Singleton,但有一个后门,使第三方能够访问Safe。
声音 | 徐明星:区块链变成国与国竞争技术,拐点可能已至:在2019第十六届中国并购年会上,中国区块链应用研究中心创始理事长徐明星表示,区块链技术的成熟会促进新一代互联网应用的发展,更是一个跨行业的技术,甚至因为在Libra这样一个背景之下,它变成国与国之间互相竞争、互相博弈的技术,拐点现在可能已经到来。(中国经营网)[2019/12/10]
这是一个陷阱!
0xhabitat的故事开始于EvilMultisend合约部署后几个小时。在与EvilMultisend合约交互的0xhabitatMultisig中提出了一项交易。对于所有相关方来说,它看起来就像是使用TransactionbuilderSafeApp进行的常规批量交易。然而,这是一个精心设计的交易,乍一看,它看起来像一个普通的Multisend交易,但实际上,它也将Safe的Singleton更新为EvilSingleton。
可以在此处找到有关激活EvilSingleton的更多技术细节。
转折点
动态 | 李广鹏出任OKCoin主体公司法人,徐明星卸任:据博链财经消息,4月15日,OK系老将李广鹏出任北京欧凯联创网络科技有限公司(OKCoin)核心主体公司法人,OK集团创始人徐明星卸任。公开资料显示,该公司成立于2014年11月28日,经营范围包括技术开发等。4月11日,香港上市公司前进控股集团(01499)宣布,徐明星和浦晓江已获委任为非执行董事。[2019/4/15]
Safe升级到EvilSingleton后,7天内什么都没有发生。与此同时,0xhabitat金库逐渐增长到价值100万美元的数字资产。很明显,攻击者在执行实际攻击之前希望蜜罐变大,希望他们的后门之前没有被发现。11月30日,攻击开始。黑客创建了一个交易,激活了EvilSingleton,允许第三方账户完全控制保险箱中的资产。
资金被抽干
在EvilSingleton被激活后仅30分钟,攻击者就能够将所有资金提取到他们的账户中。随后,攻击者通过Uniswap和Sushiswap将所有资产转换为ETH。然后通过多笔交易将生成的ETH发送到TornadoCash合约,这是路径的终点。
动态 | 徐明星:OKCoin USA会参与推出合规稳定币:OKCoin创始人徐明星发微博表示,稳定币本质是一种电子现金,和现金的属性完全相同,中央机构发行,点对点流通,区别是电子化,可追踪。今天中国国内美钞现金的量规模不小,美国政府监管的美元稳定币会让美元的渗透能力加强百倍以上。拥抱技术大潮,推出CNH稳定币是不可回避的趋势,对人民币国际化渗透能力也会有很大提升。OKCoin USA会参与推出合规稳定币。[2018/10/10]
那么,究竟发生了什么?
从我们目前收集到的信息来看,很明显Multisig中的一个签名者密钥被泄露了。这是因为导致后门实施的恶意交易是由Multisig的签名者根据我们的后端数据提出的。虽然无法准确确定这是如何实现的,但有两大类事件可能导致了这种情况。
网络钓鱼
有几种方式可能会误导所有者,导致其提出导致损害0xhabitatMultisig安全性的交易。可能的选项包括:
流氓浏览器扩展:浏览器扩展方便,但也有风险。由于扩展可以自由修改Web应用程序的任何内容。因此,欺诈性浏览器扩展程序可能已被用于修改GnosisSafeWeb界面,以用户提出恶意交易。
恶意接口:如此文所述,GnosisSafe的安全性取决于用于与帐户交互的接口的完整性。受影响的0xhabitat用户可能已经与模仿官方GnosisSafe界面的界面进行了交互,但通过将常规交易的目标地址更改为EvilMultisend合约来有效地创建恶意交易。
供应链攻击/受损网站:虽然问题的根源可能是对官方GnosisSafe软件的恶意收购,但我们目前的评估表明情况并非如此。所有信号都表明这是对0xhabitatMultisig的针对性攻击,而不是官方GnosisSafe界面的普遍问题。但是,我们也在继续调查和观察这方面的情况。
恶意所有者
第二个假设选项是所有者没有被诱提出恶意交易,而是自愿提出的。Multisig中的两个签名者之一另一方签署欺诈性交易,导致Multisig遭到破坏。我们没有理由怀疑0xhabitat团队的完整性。但是为了在我们的分析中进行彻底的分析,我们仍然必须考虑这是对事件的可行解释。
GnosisSafe团队的经验教训
在我们仍在分析此事件的同时,我们已经立即采取了一些措施来减轻未来的类似攻击。所有这些更改都作为修补程序实施。
暴露multisend地址
为了能够验证交易中使用了哪个multisend合约,SafeWebUI显式显示了multisend合约地址。阅读详情。
验证接口完整性:恶意接口可以通过共同签名者签署恶意交易来危及Multisig的整个安全性。如果您使用GnosisSafeWeb应用程序,请确保为官方应用程序的链接添加书签并验证URL和安全证书。或者更好的是,开始使用GnosisSafeDesktop应用程序。
不要只相信一个信息源:我们强烈建议使用额外的独立客户端/接口来详细检查每笔交易。例如,使用GnosisSafe移动应用程序在签名前仔细检查交易。这可以防止单个受损接口诱使用户签署恶意交易。
小心DelegateCall:DelegateCall是一个强大的工具,例如,它允许Safes批处理交易。但这也伴随着巨大的风险。因此,在识别使用DelegateCall的交易时,GnosisSafe用户应该特别注意。验证交易数据时,请验证使用了正确的Multisend目标地址。可以在此列表中找到经过Gnosis验证的Multisend实现。
减少浏览器扩展的使用:虽然方便,但浏览器扩展可能成为关键的攻击媒介,甚至可以最高级的用户。我们通常建议不要在用于与GnosisSafeWeb应用程序交互的浏览器中使用任何浏览器扩展。
创始人HughKarp也遭受了利用恶意浏览器扩展的攻击
结论
为个人和组织构建合适的工具以在Web3中保持安全是我们使命的核心。这就是为什么我们很遗憾听到0xhabitat团队资金被盗的原因。我们希望团队和社区从这种不幸的情况中一切顺利,并希望最终能确定攻击者并退还资金。
参考资料
https://etherscan.io/address/0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea
https://etherscan.io/address/0x09afae029d38b76a330a1bdee84f6e03a4979359
https://bafybeiat2xp7cicrlpq3h57wdnz4pzaoby2cx62c3lprh3lzgrworcitly.ipfs.infura-ipfs.io/Exploit_Info.pdf
https://blog.gnosis.pm/the-impact-of-phishing-on-web-3-0-a62385c81310
https://github.com/gnosis/safe-react/issues/3091
https://github.com/gnosis/safe-react/issues/3090
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。