Perte de plus de 10 millions de dollars, analyse des vulnérabilités de l'incident de sécurité UXLINK et suivi des fonds volés

Auteur original : Beosin

Reproduction : White55, Mars Finance

Le 23 septembre, UXLINK a été attaqué en raison de la fuite de la clé privée du portefeuille multi-signature. L'attaquant a tiré profit de plus de 11,3 millions de dollars en émettant des tokens UXLINK et en les revendant. L'équipe de sécurité de Beosin a effectué une analyse des vulnérabilités et un suivi des fonds concernant cet incident d'attaque, et partage les résultats comme suit :

Revue des événements

Le contrat du projet UXLINK a été compromis en raison d'une fuite de clé privée, ce qui a conduit à l'ajout de l'adresse de l'attaquant en tant que compte multisignature du contrat et à la suppression des autres comptes multisignature existants. De plus, le seuil de signature du contrat a été réinitialisé à 1, ce qui signifie qu'une seule signature de l'adresse de l'attaquant est nécessaire pour exécuter les opérations du contrat, permettant à l'attaquant d'avoir un contrôle total sur le contrat. Par la suite, l'attaquant a commencé à émettre des tokens UXLINK supplémentaires et à les vendre pour réaliser des bénéfices.

L'attaquant a émis des jetons 5 fois, trois adresses de réception de jetons 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 ont échangé les jetons UXLINK contre de l'ETH et du DAI en utilisant des échanges, des transferts et des chaînes croisées, stockés sur une adresse de la chaîne ETH.

Suivi des fonds volés

Voici l'analyse de l'équipe de sécurité Beosin sur les principaux flux de fonds dans cet incident de sécurité.

chaîne ARBITRUM

Adresse du hacker : 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Adresse volée : 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Montant volé : environ 904 401 USDT

Après avoir volé des fonds, le hacker a échangé 904 401 USDT contre 215,71 ETH puis a transféré l'ETH vers l'adresse Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c via une opération inter-chaînes.

chaîne Ethereum

Adresse du hacker : 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Adresse volée : 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Montant des fonds volés : environ 25,27 ETH, 5 564 402,99 USDT, 3,7 WBTC, 500 000 USDC

Après avoir volé des fonds, le hacker a échangé 5 564 402,99 USDT et 500 000 USDC contre 6 068 370,29 DAI, puis a rassemblé les fonds à l'adresse 0xac77b44a5f3acc54e3844a609fffd64f182ef931, dont le solde actuel est de : 240,99 ETH, 6 068 370,29 DAI, 3,7 WBTC.

Les principaux flux de fonds entre Ethereum et Arbitrum sont illustrés dans le tableau ci-dessous :

Selon l'analyse de Beosin Trace, tous les fonds volés sont toujours stockés dans plusieurs adresses de l'attaquant.

Beosin Trace a ajouté tous les adresses liées aux attaquants sur liste noire et continue de suivre. Voici la situation actuelle des soldes des adresses liées aux attaquants :