Thiệt hại lên tới hơn 10 triệu USD, phân tích lỗ hổng sự cố bảo mật UXLINK và truy tìm số tiền bị đánh cắp.

Tác giả nguyên bản: Beosin

Tái bản: White55, Mars Finance

Vào ngày 23 tháng 9, UXLINK đã bị tấn công do rò rỉ khóa riêng của ví đa chữ ký, kẻ tấn công đã tạo ra đồng tiền UXLINK và bán tháo thu lợi hơn 11,3 triệu đô la. Đội ngũ an ninh Beosin đã thực hiện phân tích lỗ hổng và theo dõi dòng tiền của sự kiện tấn công này, và đã chia sẻ kết quả như sau:

Tóm tắt sự kiện

Hợp đồng dự án UXLINK bị rò rỉ khóa riêng, dẫn đến địa chỉ của kẻ tấn công được thêm vào tài khoản đa chữ ký của hợp đồng và xóa các tài khoản đa chữ ký khác, đồng thời ngưỡng ký của hợp đồng được đặt lại thành 1, chỉ cần địa chỉ của kẻ tấn công thực hiện ký là có thể thực hiện các thao tác hợp đồng, kẻ tấn công đã đạt được quyền kiểm soát hoàn toàn đối với hợp đồng. Sau đó, kẻ tấn công bắt đầu phát hành thêm token UXLINK và bán ra để thu lợi.

Kẻ tấn công đã phát hành thêm 5 lần token, ba địa chỉ nhận token 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 đã trao đổi token UXLINK thành ETH và DAI qua việc trao đổi, trung chuyển và chuỗi chéo, lưu trữ trên địa chỉ chuỗi ETH.

Theo dõi tiền bị đánh cắp

Dưới đây là phân tích của đội ngũ an ninh Beosin về dòng tiền chính trong sự kiện an ninh lần này:

chuỗi ARBITRUM

Địa chỉ hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Địa chỉ bị đánh cắp: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Số tiền bị đánh cắp khoảng: 904,401 USDT

Sau khi đánh cắp tài sản, hacker đã đổi 904,401 USDT sang 215.71 ETH và chuyển ETH qua chuỗi sang địa chỉ Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c.

Chuỗi Ethereum

Địa chỉ hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Địa chỉ bị đánh cắp: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Số tiền bị đánh cắp khoảng: 25.27ETH, 5,564,402.99 USDT, 3.7 WBTC, 500,000 USDC

Sau khi đánh cắp tiền, hacker đã đổi 5,564,402.99 USDT và 500,000 USDC thành 6,068,370.29 DAI, cuối cùng tập hợp số tiền vào địa chỉ 0xac77b44a5f3acc54e3844a609fffd64f182ef931, địa chỉ này hiện có số dư: 240.99 ETH, 6,068,370.29 DAI, 3.7 WBTC.

Dòng tiền chính giữa Ethereum và Arbitrum như hình dưới đây:

Theo phân tích của Beosin Trace, tất cả các khoản tiền bị đánh cắp vẫn đang được lưu giữ tại nhiều địa chỉ của kẻ tấn công.

Beosin Trace đã đưa tất cả các địa chỉ liên quan đến kẻ tấn công vào danh sách đen và tiếp tục theo dõi. Dưới đây là tình hình số dư của các địa chỉ liên quan đến kẻ tấn công hiện tại: