概述
在2025年2月21日14:13:35 UTC,一筆惡意交易被執行,透過從SafeWallet發起的呼叫升級了Bybit熱錢包代理的實現。本分析詳細介紹了事件的發展過程、鏈上操作和潛在攻擊者的方法。
受損交易詳情
從SafeWallet呼叫升級Bybit熱錢包實現的惡意交易:
時間戳: 2025年2月21日, 14:13:35 UTC
交易: 0x46dee (Etherscan)
關鍵地址:
Bybit熱錢包代理: 0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4
GnosisSafe (v1.1.1): 0x34cfac646f301356faa8b21e94227e3583fe3f5f
Bybit熱錢包代理的原始碼 惡意實現合約: 0x96221423681a6d52e184d440a8efcebb105c7242
利用的鏈上流程
駭客發起:
駭客地址:
0x0fa09c3a328792253f8dee7116848723b72a6d2e攻擊者發起對熱錢包代理(
0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4)的呼叫。
委託呼叫:
代理執行對合法GnosisSafe合約(
0x34cfac646f301356faa8b21e94227e3583fe3f5f)的delegatecall。接下來,又對惡意實現合約進行了進一步的delegatecall,使用以下JSON負載:
{"to": "0x96221423681a6d52e184d440a8efcebb105c7242", // 惡意實現合約"operation": 1, // DelegateCall操作"data": "0xa9059cbb000000000000000000000000bdd077f651ebe7f7b3ce16fe5f2b025be29695160000000000000000000000000000000000000000000000000000000000000000"// 編碼了一個transfer(address,uint256)呼叫:// transfer(0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516, 0)}
狀態修改:
在惡意合約的
transfer函式中:
def transfer(address _to, uint256 _value) payable:require calldata.size - 4 >= 64require _to = _tostor0 = _to該函式更新了代理的slot0,實際上將合法的GnosisSafe實現替換為位於
0xbdd077f651ebe7f7b3ce16fe5f2b025be2969516的惡意合約。狀態變更透過以下截圖得到確認:
代理實現的slot變更確認
資產流失:
測試轉賬: 一筆初步交易轉移了90 USDT,以驗證功能。在Etherscan上檢視
測試轉賬截圖 大規模ETH流失: 在測試之後,執行了一筆交易,從受損錢包轉移了401,346.76 ETH。在Etherscan上檢視
ETH轉賬截圖
最後思考
該事件仍在調查中。上述關鍵細節顯示了攻擊者如何抽乾錢包資金,並使用精心設計的delegatecall交易隱藏其行為。
這些資訊對於理解此次入侵事件至關重要。保持警惕,密切監控您的錢包,因為即使是零值交易也可能暗示著隱藏的威脅。隨著更多細節浮出水面,我們將繼續提供更新。
