开年第一案,被盗 8000 万美元的 Orbit Chain 事件是怎么一回事?
北京时间 2024 年 1 月 1 日,据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示,Orbit_Chain 项目遭受攻击损失至少约为 8000 万美元,经 Beosin Trace 分析,黑客地址(0x27e2cc59a64d705a6c3d3d306186c2a55dcd5710)早在 1 天以前就发起了小规模的攻击,并且将盗取的 ETH 作为了本次攻击的其余 5 个地址的转账手续费来源。
Orbit Chain 是一个跨链桥平台,用户可以在一条链上使用不同区块链的各种加密资产。现项目方已经暂停跨链桥合约并与黑客进行沟通。关于本次安全事件,Beosin 安全团队第一时间进行以下分析。
事件分析
此次事件主要是攻击者直接调用 Orbit Chain: Bridge 合约的 withdraw 函数将资产转移出去。
通过进一步分析 withdraw 函数的代码,我们可以发现该函数采用了验证签名的方式来确保放款的安全性和合法性。
在区块链交易中,验证签名是一种常见的安全机制,用于确认交易的发起者是否具有足够的权限和控制权。在 withdraw 函数中,通过验证签名的方式,可以确保只有经过授权的用户或合约才能成功调用该函数并进行资产转移。
进入签名验证函数(_validate)后,我们可以观察到该函数返回了 owner 签名的数量,这一信息对于验证交易的合法性和安全性至关重要。
通过返回 owner 签名数量,可以在一定程度上验证交易的合规性和真实性。根据具体的实现方式,owner 签名数量可能会与预先设定的阈值进行比较,以确定是否满足执行交易的条件。
随后判断该数量是否大于等于 required,如果满足条件,便进行放款。
可以通过链上数据得知,管理该合约的 owner 一共有 10 个地址。required 值为 7,说明要想提取资产,需要 70% 的管理员签署提取交易。
总结来说,事件发生的原因倾向于保存管理员私钥的服务器被欺骗攻击。
攻击流程
根据链上数据显示,黑客早在 2023-12-30 03:39:35 PM +UTC 开始就陆续发起了对 Orbit_Chain 项目的攻击,黑客盗取的 ETH 数额相对较小,并且将盗取的 ETH 发送给其余的数个黑客地址作为交易手续费。
其余数个黑客地址在 2023-12-31 9:00 PM +UTC 先后对 Orbit_Chain 项目的 DAI、WBTC、ETH、USDC、USDT 进行了攻击。
资金追踪
截止发稿,被盗资金转移情况如下图所示 , 黑客正式发起攻击后,将被盗资金转移到上述五个地址。在五笔独立的交易中,每笔交易都发送到一个新的钱包,Orbit Bridge 发送了 5000 万美元的稳定币(3000 万 Tether 、 1000 万 DAI 和 1000 万 USDC)、 231 枚 wBTC(约 1000 万美元)和 9500 枚 ETH(约 2150 万美元)。
Beosin Trace 追踪资金流向图
本次跨链桥安全事件再次给我们安全启示,提醒着我们在设计和实施区块链系统时,安全性应该始终是首要考虑的因素。
首先,我们需要注重代码的安全性。合约代码是区块链系统的核心组成部分,因此在编写和审查合约代码时,应该遵循最佳实践和安全标准,避免常见的安全漏洞和攻击向量。
其次,鉴权和身份验证是至关重要的。在区块链系统中,确保只有授权的用户或合约能够执行关键操作是防止未经授权访问和资产流失的关键。采用强大的身份验证机制、多重签名和权限管理等措施,可以有效地限制访问权限,并确保只有经过授权的实体能够进行敏感操作。
Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品 + 服务,公司致力于 Web3 生态的安全发展,已为全球 3000 多个企业提供区块链安全技术服务,包括 HashKey Group、Amber Group、BNB Chain 等,已审计智能合约和公链主网超 3000 份,包括 PancakeSwap、Ronin Network、OKCSwap 等。欢迎点击公众号留言框,与我们联系。
Beosin 安全年报阅读
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
XRPPERP 现已上线 USDC 合约交易
Bitget 已于2024年11月27日(UTC+8)上线 XRPPERP 合约交易,最大杠杆为75倍。 欢迎通过我们的官方网站或 Bitget APP 开始合约交易。 XRP USDC 永续合约: 合约参数 详情 上线时间 2024年11月27日 16:40(UTC+8) 合约标的 XRP 结算资产 USDC 最小变动价位 0.0001 最高杠杆倍数 75x 资金费用结算频率 每八个小时 交易时间 7*24 根据市场风险状况,Bitget可能调整包括最小变动价格、最高杠杆倍数、维持保证金率等重要合约参数; 【合约】 Bitget 的合约包括:U本位合约、币本位合约和 USDC 合约。 感谢
SOLPERP 现已上线 USDC 合约交易
Bitget 已于2024年11月27日(UTC+8)上线 SOLPERP 合约交易,最大杠杆为100倍。 欢迎通过我们的官方网站或 Bitget APP 开始合约交易。 SOL USDC 永续合约: 合约参数 详情 上线时间 2024年11月27日 16:40(UTC+8) 合约标的 SOL 结算资产 USDC 最小变动价位 0.01 最高杠杆倍数 100x 资金费用结算频率 每八个小时 交易时间 7*24 根据市场风险状况,Bitget可能调整包括最小变动价格、最高杠杆倍数、维持保证金率等重要合约参数; 【合约】 Bitget 的合约包括:U本位合约、币本位合约和 USDC 合约。 感谢
Bitget 盘前交易:GOATS(GOATS)即将推出
我们非常高兴地宣布,GOATS(GOATS)即将在 Bitget 盘前交易推出。用户可以在 GOATS 开放现货交易之前提前进行交易。详情如下: 开始时间:2024年11月27日18:00(UTC+8) 结束时间:待定 现货交易时间:待定 交割开始时间:待定 交割结束时间:待定 盘前交易链接:GOATS/USDT Bitget 盘前交易介绍 交割方式:币种交割、USDT 交割 币种交割 从项目“交割开始时间”起,系统会不定时多次对成交订单进行尝试交割,将项目币种可用足够的卖方订单与对应的买方订单完成交割;对于项目币种可用不足或卖方用户选择“主动违约”的卖单,暂时不会执行违约赔付。到项目“交割
特朗普的加密货币计划:随着商品期货交易委员会的介入,美国证券交易委员会的作用减弱
据报道,唐纳德·特朗普政府正在考虑将加密货币监管权转移到商品期货交易委员会 (CFTC),这可能会削弱美国证券交易委员会 (SEC) 的作用。据福克斯商业报道,此举可能使 CFTC 能够监督加密货币现货市场和被归类为商品的数字资产交易所。 特朗普的团队认为,SEC 的积极执法阻碍了美国加密货币的创新,而限制较少的方法可能会促进行业增长。CFTC 被视为对行业更友好且监管力度较轻,受到加密货币领域许多人的青睐。前 CFTC 主席 Chris Giancarlo 认为,如果有足够的资金和领导力,该机构完全有能力监管数字商品。 CFTC 的预算为 7.06 亿美元,员工人数为 700 人,比 SE
加密货币价格
更多
