Cointime

扫码下载App
iOS & Android

详解Socket攻击事件始末

项目方

2024 年 1 月 16 日,Socket Tech遭到攻击,损失约 330 万美元。 攻击者利用了Socket某合约中数据验证环节的漏洞,通过恶意数据输入盗取了授权合约的用户资金。 这次攻击共给 230 个地址带来损失,最大的单地址损失约为 65.6 万美元。

背景介绍

Socket 是一种服务于跨链安全、高效数据和资产传输的互操作性协议。 Socket Gateway合约是与 Socket 流动性层所有交互的接入点,所有资产桥接器和 DEX 在此汇聚成一个唯一的元桥接器,并根据用户偏好(如成本、延迟或安全性)选择最佳交易路由。

黑客攻击发生的前三天,Socket合约管理员执行了addRoute命令,在系统中加入了一条新路由。 添加路由的目的是扩展Socket网关的功能,但却无意中引入了一个关键漏洞。

下图为通过合约管理员添加路由的记录

事件梗概

  1. 1,北京时间1月16日15:03,攻击者钱包转入攻击所用资金,我们的时间分析表明这笔资金来自0xe620,与从Tornado Cash提取的10 BNB有关。

  1. 2,这些资金被用于创建和执行两个合约,来利用Socket的漏洞。 第一个合约针对的是授权了 SocketGateway 的地址中的 USDC(截图如下);127 名受害者被骗走约 250 万美元。

  1. 3,接下来,第二个合约则将目标对准了受害者地址内的WETH, USDT, WBTC, DAI 与MATIC。于是,另外104名受害者损失了如下资产:
  • 42.47526105 WETH
  • 347,005.65 USDT
  • 2.88962154 WBTC
  • 13,821.01 DAI
  • 165,356.99 MATIC
  1. 4,攻击者将USDC与USDT转换成了ETH。

漏洞来源

被攻击者利用的漏洞存在于新添加的路由地址 routeAddress内的performAction函数中。

该地址内的performAction函数原本的功能是协助Wrapping与Unwrapping的功能。 然而,该函数中出现了一个关键漏洞:用户在无需验证的情况下,直接在.call() 中通过swapExtraData调用外部数据,这意味着攻击者可以执行任意恶意函数。

在这次事件中,攻击者制作了一个恶意的 swapExtraData 输入,触发transferFrom函数。 该恶意调用利用了用户对 SocketGateway 合约的授权,从他们那里盗走了资金。

虽然合约会通过检查余额检查确保 fromToken.call() 调用后用户余额会出现正确的变化,但该函数没有考虑攻击者将金额设置为0的情况。

还原攻击流程

  1. 1,使用攻击合约,攻击者在Socket Gateway合约上调用了0x00000196()。

  1. 2,fallback() 使用六进制签名 196 调用了有漏洞的路由地址合约(routerAddress)。

  1. 3,在下面的截图中,我们可以看到攻击者使用的虚假输入,Swapping数量全部为0。

  1. 4,接下来将调用WrappedTokenSwapperImpl.performAction() 进行Swap。

  1. 5,在没有进行任何验证的情况下,虚假的SwapExtraData被fromToken (WETH)接受并执行。

  1. 6,攻击者重复执行以上流程,直到受害者资产耗尽。 恶意交易出现后,Socket 迅速调用了 disableRoute,屏蔽了之前有漏洞的路由,阻止了更大范围的攻击。
  2. 7,1月23日,Socket宣布已经追回1032枚ETH,并在25日宣布将全额补偿所有损失。本次事件得到解决。

事件总结

在有着无限额用户授权的路由合约中,恶意 calldata 攻击并不罕见。 以前类似的攻击包括 Dexible 和 Hector Bridge。 2023 年 2 月 17 日,去中心化交易所 Dexible 被攻击,损失超过 150 万美元。 漏洞利用者向 Dexible 的 fill() 函数输入恶意 calldata,以窃取用户资产。 2023 年 6 月 2 日,Hector 网络的协议被攻击。攻击者部署了一个虚假的 USDC合约,并通过恶意 calldata,将 65.2万枚真实的USDC从受害者的合约中转移出去。

区块链聚合平台通常通过封装一系列桥和路由合约来提高流动性,减少损耗。然而,这种复杂的封装会给安全性带来更多难题。我们欣慰地看到Socket此次事件可以得到解决,CertiK将继续致力于为平台提供全方位审计与检测,降低各类聚合风险,提高社区信任和整个行业的安全水平

评论

所有评论

推荐阅读

  • 特朗普:众议院通过了我支持的法案 永久实施夏令时

    7月15日,美国总统特朗普:好消息!众议院通过了我支持的法案,永久实施夏令时。

  • 据报在AI领域斩获颇丰的中国对冲基金开始寻求退出机会

    7月15日,据彭博,今年因重仓AI相关股票而斩获颇丰的中国对冲基金,目前正开始逐步降低其风险敞口。它们向投资者发出警示,称正对这轮反弹可能无法持续的信号保持高度警惕。一封投资者信显示,上海领久私募(Everlead Capital)旗下的“成长策略3号基金”今年截至5月31日的收益率高达164%。该机构已告诉投资者,他们近期削减了在光通信和先进封装公司的仓位。另据5月的投资者信显示,另一家管理规模超50亿元人民币的私募机构浑瑾资本(Hunjin Capital)旗下的“悦阳G1基金”,在今年前五个月上涨了三分之一,目前也已经出售了部分AI股票。它们给出的理由是,担心这轮暴涨的幅度过大、速度过快。 尽管如此,这些基金目前尚未发出“泡沫即将破裂”的警告。一些机构指出,坚实的行业基本面和真金白银的业绩兑现正在驱动这轮反弹,但它们也正在密切注视可能触发更大规模套现退出的临界点。这些机构表示,他们已经确定了具体的触发信号,一旦触及,将进行更大规模的套现退出。

  • 鲁比奥今日召集AI经济外交大会

    美国国务卿鲁比奥将于周三主持经济外交行动小组(EDAG)的首次会议。该机制最初于拜登政府时期设立,至今已有两年。一名国务院官员表示,该小组由各联邦机构的负责人组成,其职责是“确定美国经济政策的方向和重点,从而推动美国的外交政策目标”。这些目标包括“美国在人工智能领域的领导地位”。与会的还有来自国务院、商务部、能源部、农业部、国防部和财政部的官员,以及美国贸易代表、美国进出口银行、发展金融公司、美国贸易与发展局、小企业管理局、千禧年挑战公司以及白宫科技政策办公室的负责人。(金十)

  • 美军对伊朗发起新一轮打击

    7月15日,美国中央司令部:今天东部时间上午6点(北京时间18点),美国中央司令部部队开始对伊朗发起一系列打击。这些打击旨在进一步削弱伊朗军队用于攻击霍尔木兹海峡商业航运的军事能力。(金十)

  • 特朗普:民主党造成的通胀已大幅下降 还会进一步降低

    7月15日,美国总统特朗普:好消息,民主党造成的通胀已经大幅下降,我们还会进一步降低。(金十)

  • 白宫哈塞特吐槽:67位经济学家中有67位错误预测CPI

    白宫经济顾问委员会主席哈塞特14日受访时表示,关于6月CPI报告,“彭博调查的67位经济学家,结果67位经济学家都预测错了!”他表示,6月CPI环比下降了0.4%,这是6年来最大的月度降幅,这得益于美国总统特朗普为削减成本采取的种种措施。(金十)

  • 孙正义预测2040年AI智能体将达100万亿个,AI将成人类史上最大产业

    7月15日,据日本读卖新闻报道,软银集团董事长兼CEO孙正义周二在东京举行的年度会议“软银世界”上表示,预计到2040年,AI智能体将达到100万亿个,人形机器人将达到10亿个,AI将成为“人类历史上最大的产业”。他指出,到2040年AI将贡献全球GDP的约20%,并称“100万亿个AI智能体相互交互,社会将转向以智能体为中心,而非以人类为中心,世界格局将彻底改变”。关于人形机器人的影响,孙正义表示,机器人可24小时运作,相当于30亿人类劳动力,且执行任务更快、更精准、更细致,将成为劳动力的核心。他同时强调,数据中心扩建是实现这一愿景的关键,预计到2040年电力消耗将翻倍,每年需投入约5万亿美元(800万亿日元)。在未来业务战略上,孙正义表示,AI革命不应局限于日本,必须集中资源于美国这一核心战场。(金十)

  • 百度盘前直线拉升涨约2% 消息称其为苹果智能提供AI搜索功能

    7月15日,百度(BIDU.US)盘前直线拉升,现涨约2%。有媒体援引知情人士透露,苹果与百度将合作,为中国iPhone用户开发人工智能功能。百度重点开发一种基于人工智能的搜索功能,作为“苹果智能”功能套件的一部分,能够处理图像和文本,并升级为中国版的 Siri语音助手。6月23日,也有海外博主One Jailbreak在拆解iOS 27 Beta 2代码时发现,ExtensionKit出现“Baidu Visual Search”。今日,网信办发布7款手机端侧生成式人工智能服务备案信息,Apple智能在列。

  • 中际旭创据悉接近获批赴港上市,募资规模或达70亿美元

    7月15日,据知情人士透露,中际旭创即将获得中国证券监管机构批准,其香港上��计划有望成为近年来香港规模最大的上市项目之一。知情人士表示,一旦获得中国证监会的批准,中际旭创便可着手向香港交易所申请聆讯,时间最早可能在本周。知情人士称,这家生产用于人工智能和数据中心的光收发模块的企业正考虑在此次股票发行中筹集约70亿美元资金。这一规模将远高于此前市场预期。不过,他们表示,包括发行规模和最终监管批准时间在内的细节仍可能发生变化。(金十)