慢雾认为,攻击主要在于EthCrossChainData合约的keeper被修改,而非私钥泄漏导致。目前,黑客已开始陆续归还资金。
撰文:慢雾安全团队
2021年08月10日,据慢雾区消息,跨链互操作协议PolyNetwork遭受黑客攻击,慢雾安全团队第一时间介入分析,并将分析结果分享如下。
攻击背景
PolyNetwork是由Neo、Ontology、Switcheo基金会共同作为创始成员,分布科技作为技术提供方共同发起的跨链组织。
如下图,通过官方的介绍我们可以清楚的看出PolyNetwork的架构设计:用户可以在源链上发起跨链交易,交易确认后由源链Relayer将区块头信息同步至PolyChain,之后由PolyChain将区块头信息同步至目标链Relayer,目标链Relayer将验证信息转至目标链上,随后在目标链进行区块头验证,并执行用户预期的交易。
以下是本次攻击涉及的具体地址:
攻击核心
源链未对发起的跨链操作的数据进行检查。目标链未对解析出的目标调用合约以及调用参数进行检查。EthCrossChainData合约的owner为EthCrossChainManager。bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))可以被hash碰撞。攻击细节
PolyNetwork会在各个链上部署智能合约以便进行跨链互操作,其中EthCrossChainManager合约用于验证PolyChain同步来的区块头以确认跨链信息的真实。EthCrossChainData合约用于存储跨链数据,中继链验证人(即Keeper)的公钥也存储在这个合约中。LockProxy则用于资产管理。
PeckShield:Defrost_Finance被黑客利用,损失约173,000美元:金色财经报道,PeckShield监测,Defrost_Finance被利用,导致黑客获得约173,000美元的收益。由于 flashloan()/deposit() 函数缺少可重入锁,因此黑客攻击成为可能,黑客使用该函数在不偿还的情况下借出所有 USDC。[2022/12/23 22:03:53]
本次攻击中,攻击者分两步来完成这次攻击,我们接下来进行详细分析:
首先攻击者通过在其他链调用crossChain函数构造数据发起跨链交易。
我们切入此函数进行分析:
EthCrossChainManager.crossChain
从上图我们可以清晰的看出,此函数只是用于帮助用户构造makeTxParam并存储了构造后的哈希以便后续验证,其并未对用户传入的跨链操作参数进行任何限制,因此攻击者完全可以通过构造任意想构造的数据而让Relayer毫无防备的将其同步至PolyChain,通过PolyChain将其同步至以太坊Relayer。
随后在以太坊上的Relayer通过调用EthCrossChainManager合约中
的verifyHeaderAndExecuteTx函数提交区块头信息来验证这笔跨链信息的真实性。
我们切入此函数进行分析:
EthCrossChainManager.verifyHeaderAndExecuteTx
PeckShield:Web3项目TRQ疑似被黑客攻击:金色财经报道,PeckShield监测显示, Web3项目TRQ疑似被黑客攻击,导致$TRQ价格大幅下跌。对此,官方放在社交媒体上称,感谢社区的大力支持。请耐心等待,由于一些特殊原因,交易已经暂停。官方正在处理中。请耐心等待官方进一步公告。[2022/12/11 21:36:45]
通过上图代码我们可以看出其先对区块头进行反序列化,以解出所需要验证的具体信息。随后调用getCurEpochConPubKeyBytes函数从EthCrossChainData合约中获取Keeper公钥,并通过deserializeKeepers函数得到Keeper地址。
接下来将通过ECCUtils.verifySig验证签名是否为Keeper,从以下代码中我们可以发现verifySig函数中会切出签名者的vrs,并通过ecrecover接口获取签名者地址,然后调用containMAddresses函数循环比较签名者是否为Keeper,只要Keeper签名数量符合要求即可通过检查,数量要求即为EthCrossChainManager合约传入的n-(n-1)/3)。
签名验证后会通过ECCUtils.merkleProve进行默克尔根验证,只要是正常跨链操作即可通过此项检查。随后会对交易是否重复发送进行检查并存储已验证后的数据。这里只需保证不重复提交即可。
最后,也是最关键的一步,其将通过内部调用_executeCrossChainTx函数执行构造的数据。
从上图我们可以看出_executeCrossChainTx函数未对传入的_toContract、_method等参数进行检查就直接以_toContract.call的方式执行交易。
动态 | Cryptopia交易所资金再次被黑客盗取 资金最终都将被黑客控制:据ambcrypto消息,据区块链分析公司Elementus的报告显示,此前受到攻击的Cryptopia仍受到黑客攻击影响。今日,被盗的代币已发送到Etherscan标记为黑客的钱包地址,Elementus 表示“最初还不清楚是否为Cryptopia放入剩余资金提供担保。但到了晚上9点50分我们得确认,这确实是同一个黑客。在那个时候,收到的转账停止了,合并的资金被转移到同一个钱包的地址。报告称,交易所无法控制他们的以太坊钱包私钥,而黑客才是掌控者。它还指出,不管黑客入侵情况如何,该平台的用户继续将ETH存入他们的钱包。该公司还认为,所有发送到交易所平台的资金最终都将被黑客控制,直到他们被抓获。[2019/1/29]
其中通过链上数据我们可以看出EthCrossChainData合约的owner即为EthCrossChainManager合约,而先前我们知道中继链验证人(即Keeper)的公钥存在EthCrossChainData合约中,且此合约存在putCurEpochConPubKeyBytes函数可以直接修改Keeper公钥。
经过以上分析,结果已经很明确了,攻击者只需在其他链通过crossChain正常发起跨链操作的交易,此交易目的是为了调用EthCrossChainData合约的putCurEpochConPubKeyBytes函数以修改Keeper角色。随后通过正常的跨链流程,Keeper会解析用户请求的目标合约以及调用参数,构造出一个新的交易提交到以太坊上。这本质上也只是一笔正常的跨链操作,因此可以直接通过Keeper检查与默克尔根检查。最后成功执行修改Keeper的操作。
动态 | EOSDice由于随机因子被操纵再次被黑:链安科技团队对11月10日发生的EOSDice随机数再次被攻击事件进行分析后发现,bocai新的随机数用到了其他一些账户的余额,攻击者模拟开奖流程action,然后在action中通过给随机因子中的账户(newdexpocket)转账来控制随机因子 ,操纵开奖结果。本次攻击手段利用了余额这个随机因子,较之前有所不同。安全团队再次提醒游戏开发者警惕可控的随机数算法因子,预防伪随机数漏洞。[2018/11/10]
但我们注意到putCurEpochConPubKeyBytes函数定义为
functionputCurEpochConPubKeyBytes(bytescalldatacurEpochPkBytes)externalreturns(bool);
而_executeCrossChainTx函数执行的定义为
abi.encodePacked(bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))
我们可以知道这两个函数的函数签名在正常情况下传入的_method为putCurEpochConPubKeyBytes肯定是完全不同的,因此通过_toContract.call理论上是无法调用到putCurEpochConPubKeyBytes函数的。但_method是攻击者可以控制的,其完全可以通过枚举各个字符组合以获得与调用putCurEpochConPubKeyBytes函数相同的函数签名,这要求其只需枚举前4个字节符合即可。我们也可以自己尝试枚举验证,如下所示:
Poloniex用户数据库丢失,导致蚂蚁矿池账号被黑:今日蚂蚁矿池推特紧急发送三条推特回复Poloniex交易所,询问一账号的登陆IP。蚂蚁矿池称,Poloniex丢失用户数据库导致该账号被黑客入侵。今日上午,Poloniex就出现帐户余额显示不正常问题,官方称正在调查原因。其表示他们正在努力恢复出错的帐户余额,并将暂停所有的强制清算。[2018/1/19]
可以看出前四个字节与putCurEpochConPubKeyBytes函数是一致的
至此我们就已还原出攻击者的攻击细节。
通过解析链上数据,我们可以发现攻击者将Keeper替换为了0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B。
最后攻击者只需使用替换后的Keeper地址进行签名即可通过所有检查执行调用LockProxy合约将其管理的资产转出。
攻击流程
攻击者在源链精心构造一笔修改目标链Keeper的操作。
利用官方Relayer正常在目标链提交数据并执行替换Keeper操作。
攻击者通过替换后的Keeper地址对其转出资产的操作进行签名提交至EthCrossChainManager进行验证。
验证Keeper为攻击者已替换完的地址通过检查,执行将资产转移至攻击者指定地址。
获利走人。
MistTrack分析过程
慢雾AML团队分析统计,本次攻击损失共计超6.1亿美元!
具体如下:
资金流向分析
慢雾AML旗下?MistTrack反追踪系统分析发现,攻击者初始的资金来源是门罗币(XMR)。
然后在交易所里换成了BNB/ETH/MATIC等币种并分别提币到3个地址,不久后在3条链上发动攻击。
事件梳理
资金情况
BSC上:
黑客地址1,黑客将近1.2亿美元的流动性添加到Curve分叉项目EllipsisFinance中,目前仍在做市无异动。Polygon上:
资金无异动。
Ethereum上:
1)黑客地址3,只有一笔转出13.37ETH到地址0xf8b5c45c6388c9ee12546061786026aaeaa4b682的交易;
2)黑客在Curve上添加了超9706万美元的流动性。后又撤销流动性将9638万枚USDC和67万枚DAI换成9694万枚DAI,这笔资金仍停留在地址3。目前,3343万枚USDT已被Tether冻结。
疑难问答
注:eccm为EthCrossChainManager合约的简称,eccd为EthCrossChainData合约的简称。
问:为什么keeper能更换成功,合约代码没有进行鉴权吗?
答:eccd合约有进行鉴权,仅允许owner调用putCurEpochConPubKeyBytes更改keeper,因为eccd合约的owner是eccm,所以通过eccm可以更改keeper的值。
问:为什么能签名一笔更换keeper的交易?
答:因为跨链要执行的数据没有判断好toContract,所以可能原先的keeper以为是一笔正常的跨链交易就签名了,但是他是一笔更换keeper的交易。
问:为什么能绕过代码bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))的这个限制,然后执行putCurEpochConPubKeyBytes(bytes)函数?
答:函数签名用的是keccak-256进行哈希,然后取前面的4bytes,这种情况下是较容易被hash碰撞的。
问:黑客更换keeper的交易如何被旧的keepers签名?
答:keepers是一个链中继器(Replayer),会对所有正常用户的跨链请求进行签名。当用户在BSC上发起跨链交易时,keepers会解析用户请求的目标合约以及调用参数,构造出一个新的交易提交到以太坊上,并在以太坊上用eccm合约调用用户交易里包含的目标合约。黑客替换keeper的交易本质上也是一笔正常的跨链交易,只不过调用的目标合约是eccd合约,调用的参数是更换keeper,所以能被正常签名。
总结
本次攻击主要在于EthCrossChainData合约的keeper可由EthCrossChainManager合约进行修改,而EthCrossChainManager合约的verifyHeaderAndExecuteTx函数又可以通过_executeCrossChainTx函数执行用户传入的数据。因此攻击者通过此函数传入精心构造的数据修改了EthCrossChainData合约的keeper为攻击者指定的地址,并非网传的是由于keeper私钥泄漏导致这一事件的发生。
慢雾AML旗下MistTrack反追踪系统将持续监控被盗资金的转移,拉黑攻击者控制的所有钱包地址,提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。此外,特别感谢虎符Hoo、PolyNetwork、火币Zlabs、链闻、WePiggy、TokenPocket钱包、Bibox、欧科云链等团队及许多个人伙伴在合规的前提下及时与慢雾安全团队同步相关攻击者信息,为追踪攻击者争取了宝贵的时间。
目前,在多方努力下,黑客开始陆续归还资金。
来源链接:mp.weixin.qq.com
免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与链闻ChainNews立场无关。文章内的信息、意见等均仅供参考,并非作为或被视为实际投资建议。
慢雾
慢雾
慢雾科技是一家专注区块链生态安全的国家高新技术企业,通过「威胁发现到威胁防御一体化因地制宜的安全解决方案」服务了全球许多头部或知名的项目。慢雾科技的安全解决方案包括:安全审计、威胁情报、漏洞赏金、防御部署、安全顾问等服务并配套有加密货币反、假充值漏洞扫描、漏洞监测、被黑档案库、智能合约防火墙、SafeStaking等SAAS型安全产品,已有商业客户上千家。慢雾慢雾科技慢雾AML慢雾安全Slowmist查看更多以太坊
标签:KEEOSSSCHACROSSCHAINbitkeep钱包下载官网TOSS币futureclasseschainCROSSCHAIN币
尊敬的用户: AOFEX交易所将于2021年8月11日17:30开通AXS、SOL、MATIC永续合约,均支持5倍、10倍、20倍、50倍、75倍杠杆.
关于上线GDP的公告 尊敬的用户: DiBiGlobal交易平台将于2021年8月16日10:00在币币交易正式开启GDP/USDT交易,同时开放提现服务.
尊敬的用户:?????????????BKEXGlobal即将上线ASAP,详情如下:上线交易对:ASAP/USDT??币种类型:ERC20充值功能开放时间:已开放交易功能开放时间:2021年8.
亲爱的CoinW用户: CoinW现已建立新币专属交流社群,所有用户皆可扫描文末二维码或添加群主微信进群交流最新项目信息,近期交易过新币的用户进群还可领取打新赠礼.
链闻消息,数字资产金融服务机构FalconX以37.5亿美元估值完成2.1亿美元C轮融资,硅谷投资公司AlimeterCapital、SapphireVentures、TigerGlobal、B.
8月10日消息,在跨链聚合协议O3Swap电报群中,工作人员表示,有用户报告跨链交易问题,包括跨链池O3Hub存取款问题,并建议用户在问题解决之后再进行交易.