Cointime

扫码下载App
iOS & Android

Blast链9700万美元争夺战,某国黑客生疏了?

项目方

背景

Blast是由Blur的创始人Pacman(Tieshun Roquerre、aka.铁顺)推出的Ethereum Layer2网络,在2月29日启动主网,目前约有19500 ETH和640000 stETH质押在Blast主网。

被攻击的项目Munchables是Blast举办的Bigbang竞赛胜出的优质项目。

Blast官方对质押ETH在Blast主网的用户会发放普通积分:

为了鼓励用户参与Blast生态上的DeFi项目,Blast官方会挑选出优质项目进行推荐,并鼓励用户将ETH二次质押到DeFi里,可以获得更快的积分增加速度以及黄金积分,因此有相当多的用户将质押在Blast主网的ETH质押到了新创建的DeFi项目。

而这些DeFi项目的成熟度、安全性还有待考察,这些合约是否具有足够的安全考虑来保管用户的数千万、甚至上亿美元。

事件概述

Blast主网上线不到一个月,在2024年3月21日就发生了针对SSS Token(Super Sushi Samurai)的攻击,Token合约中存在一个转账逻辑错误,导致攻击者可以凭空增加指定账户的SSS Token余额,最终项目损失了超过1310 ETH(约460万美元)。

而在SSS Token攻击事件过去不到一周的时间,Blast上又发生了一起更大的攻击事件,Munchables项目被攻击者一把卷走了17413.96 ETH,共约6250万美元。

在这笔攻击交易发生的半小时后,项目方合约里的73.49 WETH也被黑客盗取到的另外一个地址。

此时项目方的合约地址上,还存着7276个WETH、7758267个USDB、4个ETH,随时会落入黑客手里,而黑客拥有拿走整个项目的所有资金的权限,共计约9700万美元暴露于风险之中。

在事件后发生的第一时间,X(Twitter)的知名链上侦探zachXBT指出本次攻击的根本原因是由于雇佣了某国黑客所致。

让我们深入看看,“某国黑客”是如何完成一次接近一亿美元的攻击。

现场还原

  • 受害者发声

[UTC+0]2024年3月26日21点37分(攻击发生5分钟后),Munchables官方在X(Twitter)发文表示遭到攻击。

按链上侦探ZachXBT的调查,是因为他们有一位开发者是“某国黑客”,aavegotchi的创始人coderdannn也在X(Twitter)上表示:“Aavegotchi的开发团队Pixelcraft Studios在2022时曾短期雇用过Munchables攻击者来进行一些游戏开发工作,他技术很糙,感觉确实像一名某国黑客,我们在一个月内解雇了他。他还试图让我们雇用他的一位朋友,那个人很可能也是一名黑客。”

由于这次攻击让社区的用户损失巨大,我们立即启动了链上调查,让我们深入看看这个“某国黑客”的攻击细节。

  • 第一现场

[UTC+0]2024年3月26日21点32分,涉及17413.96 ETH的攻击发生了。

通过Blastscan我们可以看到这笔攻击交易:https://blastscan.io/tx/0x9a7e4d16ed15b0367b8ad677eaf1db6a2a54663610696d69e1b4aa1a08f55c95

受损合约(0x29..1F)是一个代理合约,存放了用户质押的资金,我们可以看到,攻击者调用了质押合约的unlock函数,并通过了所有的权限校验,转走了合约中所有的ETH到攻击者地址1(0x6E..c5)。

看上去攻击者调用了一个类似withdraw行为的unlock函数,取走了受损合约(0x29..1F)上大部分ETH。

是项目方的金库忘了上锁吗?

受损合约(0x29..1F)中的unlock存在两个相关校验,我们一个一个来看。

首先,我们发现在校验权限的流程中,调用了合约(0x16..A0)的isRegistered方法来查看当前的msg.sender,也即是黑客地址1(0x6E..c5)是否已经被注册过:

答案是:通过了验证。

这里涉及到了合约(0x16..A0)以及其对应的最新的逻辑合约(0xe7..f1)

[UTC+0]2024年3月24日08点39分(攻击发生的2天前),合约(0x16..A0)对应的逻辑合约被升级了。

逻辑合约升级交易:

https://blastscan.io/tx/0x9c431e09a80d2942319853ccfdaae24c5de23cedfcef0022815fdae42a7e2ab6

逻辑合约被更新至0xe7..f1。

最初的逻辑合约地址在这里能看到,为0x9e..CD。

https://blastscan.io/tx/0x7ad050d84c89833aa1398fb8e5d179ddfae6d48e8ce964f6d5b71484cc06d003

此时,我们怀疑黑客是更新代理合约的逻辑实现合约,将为0x9e..CD变成恶意的0xe7..f1,完成了验证权限的绕过。

真的是这样吗?

在Web3.0从来不需要猜测和听信别人,你只需要掌握技术就能自己得到答案。

我们通过对比两份合约(未开源合约),最初的0x9e..CD合约与更新后0xe7..f1存在一些明显的区别:

0xe7..f1的initialize函数部分实现如下:

0x9e..CD的initialize函数部分实现如下:

可以看到,攻击者在最初的逻辑合约(0x9e..CD)中,将攻击者地址(0x6e..c5)设置为register,同时还有其他两个攻击者地址0xc5..0d、0xbf..87也被register了,并且它们的field0被设置为初始化时的区块时间,field0后面会解释用处。

实际上,和我们猜测的恰好相反,真正的藏有后门的逻辑合约,反而是最初就存在,而后面更新的反而是正常的!

等等,这个更新出现在[UTC+0]2024年3月24日08点39分(攻击发生的2天前),也就是在这个事件之前,逻辑合约已经变成没有后门的合约了,为什么后面攻击者还可以完成攻击?

这是因为delegatecall的原因,所以实际的状态存储更新是在合约(0x16..A0)中,这也就导致了即使之后逻辑合约被更新至没有后门的逻辑合约0xe7..f1,合约(0x16..A0)中被更改的slot依然不会恢复。

我们来验证一下:

可以看到,合约(0x16.....A0)中对应的slot是有数值的。

这使得攻击者能够通过isRegistered方法的校验:

攻击者之后再将后门合约更换为正常合约掩人耳目,其实此时后门早已种下。

另外,在unlock的流程中,还涉及到第二个校验:

对于lock时间的检查,这一部分是保证锁定的资产不会在未到期就被转走。

攻击者需要保证当unlock被调用时的区块时间大于要求的锁定过期时间(field3)。

这一部分校验就涉及到受损合约(0x29..1F)以及对应的逻辑合约0xf5..cd。

在[UTC+0]2024年3月21日11点54分(攻击发生的5天前)的交易中,

https://blastscan.io/tx/0x3d08f2fcfe51cf5758f4e9ba057c51543b0ff386ba53e0b4f267850871b88170

我们可以看到受损合约(0x29..1F)合约最初的逻辑合约是0x91..11,而在仅仅四分钟后,就在

https://blastscan.io/tx/0xea1d9c0d8de4280b538b6fe6dbc3636602075184651dfeb837cb03f8a19ffc4f

被升级为了0xf5..cd。

我们同样来对比两份合约,可以发现攻击者和之前一样,也在initialize函数做了手脚,

0xf5..cd的initialize函数部分实现:

0x91..11的initialize函数部分实现:

可以看到,很明显的,又是运用了同样的手法,将自己持有的ETH数量&解锁时间都进行了篡改,之后再替换回正常合约掩人耳目,当项目方和安全研究人员在Debug的时候,看到的逻辑合约全是正常的,而且由于合约均为未开源合约,更难以看清问题的核心。

至此,我们了解了这笔涉及17413 ETH的交易,攻击者是如何做到的,但是这个事件背后的信息,只有这么多吗?

我们上面的分析中,其实看到黑客在合约内部内置了3个地址:

0x6e..c5(攻击者地址1)

0xc5..0d(攻击者地址2)

0xbf..87(攻击者地址3)

而我们上面发现的攻击交易中只看到0x6e..c5,其他两个地址都做了什么?而且里面的address(0)、_dodoApproveAddress、_uniswapV3Factorty到底还隐藏着什么秘密?

  • 第二现场

我们先来看看攻击者地址3(0xbf..87),通过同样的手法盗取了73.49 WETH:

https://blastscan.io/tx/0xfc7bfbc38662b659bf6af032bf20ef224de0ef20a4fd8418db87f78f9370f233

并且攻击gas的来源地址(0x97..de),同时给0xc5..0d(攻击者地址2)和0xbf..87(攻击者地址3)都提供了手续费。

而攻击gas来源地址(0x97..de)的0.1 ETH的资金源头来自owlto.finance(跨链桥)。

0xc5..0d(攻击者地址2)收到手续费后,并未进行任何攻击,但它其实肩负了一个隐藏的计划,我们继续看下去。

实际上,根据官方的事后救援交易,原来受损合约(0x29..1F)地址上并不止73.49枚weth,直到攻击结束,也仍有7276.5 WETH & 7758267 USDB。

救援交易:

https://blastscan.io/tx/0x1969f10af9d0d8f80ee3e3c88d358a6f668a7bf4da6e598e5be7a3407dc6d5bb

原本攻击者是打算盗取这些资产的,可以看到0xc5..0d(攻击者地址2)这个地址原本是用来偷取USDB的。

这里的_dodoApproveAddress为0x0000000000000000000000004300000000000000000000000000000000000003

为usdb的address

0xbf..87(攻击者地址3)这个地址是用来偷取weth的:

这里的_uniswapV3Factory为0x0000000000000000000000004300000000000000000000000000000000000004

为weth的address

而0x6e..c5(攻击者地址1)负责盗取的是address(0),即是原生资产ETH。

攻击者通过设置field0,即可通过如下逻辑对对应资产进行盗取:

问题

  • 为什么攻击者没有盗走所有资产?

理论上他可以盗取所有的资产,即剩下的WETH和USDB。

0xbf..87(攻击者地址3)只盗取了73.49 WETH,0xbf..87(攻击者地址3)其实完全可以把所有的7350 WETH拿走,也可以借助0xc5..0d(攻击者地址2)把7758267 USDB全部拿走,为什么只拿了一点点WETH就停下来了,我们不得而知,可能需要知名链上侦探深入内部的调查了。

https://blastscan.io/tx/0xfc7bfbc38662b659bf6af032bf20ef224de0ef20a4fd8418db87f78f9370f233

  • 为什么攻击者没有把17413ETH转到Ethereum主网?

众所周知,Blast主网是有可能通过中心化的方式拦截这些ETH,让它永久停留在这里,从而不会造成实质上的用户损失,但是一旦这些ETH进入Ethereum主网,就没有办法拦截了。

我们评估了当前Blast的跨链桥,官方跨链桥没有限制数量,但是需要14天的退出时间,因此足以让Blast官方来准备拦截的计划。

而第三方的跨链桥是可以接近实时到账的,就像攻击者的手续费来源一样,很快完成跨链,为什么攻击者没有第一时间进行跨链?

实际上攻击者在第一时间(攻击的2分钟内)进行了跨链:

https://blastscan.io/tx/0x10cf2f2b884549979a3a1dd912287256229458ef40d56df61738d6ea7d9d198f

而且资金花了20秒就在Ethereum主网到账了,理论上攻击者可以持续不断进行跨链,可以在跨链桥人工干预之前,将大量ETH跨链转走。

至于为什么只能每次3 ETH,原因是跨链桥的流动性限制,从Blast上跨到ETH上:

另一家支持Blast的跨链桥则支持的更少:

而在这一笔跨链交易后,攻击者没有继续其他的跨链操作,原因我们不得而知,看上去“某国黑客”似乎是没有为资金退出Blast进行充足的准备。

攻击后的事件发展

根据社区用户Nearisbuilding的反馈,他找到了攻击者的更多身份信息,并且想办法促使攻击者归还资金。

https://twitter.com/Nearisbuilding/status/1772812190673756548

最终,在加密社区的关注和努力下,“某国黑客”也许因为害怕暴露身份,向项目方提供了以上3个攻击者地址的私钥,并归还了所有资金,项目方也进行了救援交易,把受损合约的资金全部转到多签合约进行保管。

评论

所有评论

推荐阅读

  • 特朗普:众议院通过了我支持的法案 永久实施夏令时

    7月15日,美国总统特朗普:好消息!众议院通过了我支持的法案,永久实施夏令时。

  • 据报在AI领域斩获颇丰的中国对冲基金开始寻求退出机会

    7月15日,据彭博,今年因重仓AI相关股票而斩获颇丰的中国对冲基金,目前正开始逐步降低其风险敞口。它们向投资者发出警示,称正对这轮反弹可能无法持续的信号保持高度警惕。一封投资者信显示,上海领久私募(Everlead Capital)旗下的“成长策略3号基金”今年截至5月31日的收益率高达164%。该机构已告诉投资者,他们近期削减了在光通信和先进封装公司的仓位。另据5月的投资者信显示,另一家管理规模超50亿元人民币的私募机构浑瑾资本(Hunjin Capital)旗下的“悦阳G1基金”,在今年前五个月上涨了三分之一,目前也已经出售了部分AI股票。它们给出的理由是,担心这轮暴涨的幅度过大、速度过快。 尽管如此,这些基金目前尚未发出“泡沫即将破裂”的警告。一些机构指出,坚实的行业基本面和真金白银的业绩兑现正在驱动这轮反弹,但它们也正在密切注视可能触发更大规模套现退出的临界点。这些机构表示,他们已经确定了具体的触发信号,一旦触及,将进行更大规模的套现退出。

  • 鲁比奥今日召集AI经济外交大会

    美国国务卿鲁比奥将于周三主持经济外交行动小组(EDAG)的首次会议。该机制最初于拜登政府时期设立,至今已有两年。一名国务院官员表示,该小组由各联邦机构的负责人组成,其职责是“确定美国经济政策的方向和重点,从而推动美国的外交政策目标”。这些目标包括“美国在人工智能领域的领导地位”。与会的还有来自国务院、商务部、能源部、农业部、国防部和财政部的官员,以及美国贸易代表、美国进出口银行、发展金融公司、美国贸易与发展局、小企业管理局、千禧年挑战公司以及白宫科技政策办公室的负责人。(金十)

  • 美军对伊朗发起新一轮打击

    7月15日,美国中央司令部:今天东部时间上午6点(北京时间18点),美国中央司令部部队开始对伊朗发起一系列打击。这些打击旨在进一步削弱伊朗军队用于攻击霍尔木兹海峡商业航运的军事能力。(金十)

  • 特朗普:民主党造成的通胀已大幅下降 还会进一步降低

    7月15日,美国总统特朗普:好消息,民主党造成的通胀已经大幅下降,我们还会进一步降低。(金十)

  • 白宫哈塞特吐槽:67位经济学家中有67位错误预测CPI

    白宫经济顾问委员会主席哈塞特14日受访时表示,关于6月CPI报告,“彭博调查的67位经济学家,结果67位经济学家都预测错了!”他表示,6月CPI环比下降了0.4%,这是6年来最大的月度降幅,这得益于美国总统特朗普为削减成本采取的种种措施。(金十)

  • 孙正义预测2040年AI智能体将达100万亿个,AI将成人类史上最大产业

    7月15日,据日本读卖新闻报道,软银集团董事长兼CEO孙正义周二在东京举行的年度会议“软银世界”上表示,预计到2040年,AI智能体将达到100万亿个,人形机器人将达到10亿个,AI将成为“人类历史上最大的产业”。他指出,到2040年AI将贡献全球GDP的约20%,并称“100万亿个AI智能体相互交互,社会将转向以智能体为中心,而非以人类为中心,世界格局将彻底改变”。关于人形机器人的影响,孙正义表示,机器人可24小时运作,相当于30亿人类劳动力,且执行任务更快、更精准、更细致,将成为劳动力的核心。他同时强调,数据中心扩建是实现这一愿景的关键,预计到2040年电力消耗将翻倍,每年需投入约5万亿美元(800万亿日元)。在未来业务战略上,孙正义表示,AI革命不应局限于日本,必须集中资源于美国这一核心战场。(金十)

  • 百度盘前直线拉升涨约2% 消息称其为苹果智能提供AI搜索功能

    7月15日,百度(BIDU.US)盘前直线拉升,现涨约2%。有媒体援引知情人士透露,苹果与百度将合作,为中国iPhone用户开发人工智能功能。百度重点开发一种基于人工智能的搜索功能,作为“苹果智能”功能套件的一部分,能够处理图像和文本,并升级为中国版的 Siri语音助手。6月23日,也有海外博主One Jailbreak在拆解iOS 27 Beta 2代码时发现,ExtensionKit出现“Baidu Visual Search”。今日,网信办发布7款手机端侧生成式人工智能服务备案信息,Apple智能在列。

  • 中际旭创据悉接近获批赴港上市,募资规模或达70亿美元

    7月15日,据知情人士透露,中际旭创即将获得中国证券监管机构批准,其香港上��计划有望成为近年来香港规模最大的上市项目之一。知情人士表示,一旦获得中国证监会的批准,中际旭创便可着手向香港交易所申请聆讯,时间最早可能在本周。知情人士称,这家生产用于人工智能和数据中心的光收发模块的企业正考虑在此次股票发行中筹集约70亿美元资金。这一规模将远高于此前市场预期。不过,他们表示,包括发行规模和最终监管批准时间在内的细节仍可能发生变化。(金十)