Chainfeeds tóm tắt:

Các nhóm hacker, đặc biệt là Lazarus Group, đang không ngừng nâng cấp các phương pháp tấn công của họ.

Nguồn bài viết:

https://mp.weixin.qq.com/s/imC09I6Ty5aMkkENZTMOVg

Tác giả bài viết:

Đội ngũ an ninh SlowMist

Quan điểm:

Đội ngũ an ninh SlowMist: Chúng tôi sử dụng công cụ theo dõi chuỗi và chống rửa tiền MistTrack để phân tích địa chỉ hacker ban đầu 0x47666Fab8bd0Ac7003bce3f5C3585383F09486E2, và thu được thông tin sau: ETH đã được chuyển đi phân tán, địa chỉ hacker ban đầu đã chuyển 400.000 ETH thành 40 địa chỉ với mỗi lần 1.000 ETH, và vẫn đang tiếp tục chuyển. Trong đó, 205 ETH đã được chuyển đổi sang BTC thông qua Chainflip và chuyển sang địa chỉ bc1qlu4a33zjspefa3tnq566xszcr0fvwz05ewhqfq. cmETH đang chảy lên, 15.000 cmETH đã được chuyển đến địa chỉ 0x1542368a03ad1f03d96D51B414f4738961Cf4443. Đáng chú ý là, mETH Protocol đã kịp thời tạm dừng rút tiền cmETH khi xảy ra sự cố an ninh tại Bybit, ngăn chặn các giao dịch rút tiền trái phép, và đã thu hồi thành công 15.000 cmETH từ địa chỉ hacker. 8.000 mETH và 90.375,5479 stETH đã được chuyển đến địa chỉ 0xA4B2Fd68593B6F34E51cB9eDB66E71c1B4Ab449e. Sau đó, chúng đã được trao đổi thành 98.048 ETH thông qua Uniswap và ParaSwap, rồi chuyển đến 0xdd90071d52f20e85c89802e5dc1ec0a7b6475f92. Địa chỉ 0xdd9 đã phân tán ETH thành 9 địa chỉ với mỗi lần 1.000 ETH, nhưng chưa chuyển ra ngoài. Sau khi sự kiện xảy ra, SlowMist đã ngay lập tức phân tích phương thức thu thập Safe multi-sig của kẻ tấn công cũng như phương thức rửa tiền, và dự đoán rằng kẻ tấn công là nhóm hacker Triều Tiên. Bằng cách sử dụng MistTrack, chúng tôi cũng phát hiện ra các địa chỉ hacker liên quan đến vụ tấn công BingX, Phemex. ZachXBT cũng đã xác nhận rằng cuộc tấn công này liên quan đến nhóm hacker Lazarus của Triều Tiên, một nhóm chuyên thực hiện các cuộc tấn công mạng xuyên quốc gia và đánh cắp tiền điện tử. Về phương thức tấn công, các sự kiện tấn công WazirX và Radiant Capital có nhiều điểm tương đồng với vụ tấn công này, khi cả ba sự kiện đều nhắm vào ví Safe multi-sig. Đối với vụ tấn công WazirX, kẻ tấn công cũng đã triển khai trước hợp đồng thực hiện độc hại, và sử dụng ba chủ sở hữu ký giao dịch, thông qua DELEGATECALL để ghi hợp đồng thực hiện độc hại vào STORAGE 0, thay thế hợp đồng Safe bằng hợp đồng thực hiện độc hại. Đối với vụ tấn công Radiant Capital, theo công bố chính thức, kẻ tấn công đã sử dụng một phương pháp phức tạp để khiến người xác minh chữ ký thấy giao dịch hợp pháp ở phía trước, tương tự như thông tin được Ben Zhou tiết lộ. Và cả ba sự kiện này đều liên quan đến các hợp đồng độc hại có cùng cách kiểm tra quyền hạn, đó là cứng hóa địa chỉ chủ sở hữu trong hợp đồng để kiểm tra người gọi hợp đồng. Lỗi thông báo quyền hạn bị từ chối trong vụ tấn công Bybit và WazirX cũng tương tự nhau. Kết hợp với bài đăng của Ben Zhou, chúng tôi đưa ra một số nghi vấn: 1) Chuyển ETH thường xuyên: Kẻ tấn công có thể đã thu thập trước thông tin về lịch trình chuyển ETH của nhóm tài chính nội bộ Bybit, nắm được thời điểm chuyển ETH từ ví lạnh multi-sig? Thông qua hệ thống Safe, họ đã lừa các người ký để ký vào các giao dịch độc hại trên giao diện giả mạo? Hệ thống giao diện người dùng của Safe có bị xâm nhập và kiểm soát? 2) Giao diện hợp đồng Safe bị thay đổi: Người ký chỉ thấy địa chỉ và URL đúng trên giao diện Safe, nhưng dữ liệu giao dịch họ ký đã bị thay đổi? Vấn đề then chốt là: Ai là người khởi tạo yêu cầu ký đầu tiên? An ninh thiết bị của họ như thế nào? Chúng tôi mong rằng các bên chính thức sẽ sớm công bố thêm kết quả điều tra.