2023年12月12日,OKX DEX Proxy 管理员私钥疑似泄露,攻击者已获利约270万美元。
SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。
OKX: Dex Aggregator合约:0x70cbb871e8f30fc8ce23609e9e0ea87b6b222f58
UpgradeableProxy 合约:0x55b35bf627944396f9950dd6bddadb5218110c76
Proxy Admin Owner: 0xc82Ea2afE1Fd1D61C4A12f5CeB3D7000f564F5C6
Proxy Admin合约:0x3c18F8554362c3F07Dc5476C3bBeB9Fdd6F6a500
攻击发起者地址:0xFacf375Af906f55453537ca31fFA99053A010239
资金流向地址1:0x1f14e38666cdd8e8975f9acc09e24e9a28fbc42d
资金流向地址2:0x0519eFACB73A1f10b8198871E58D68864e78B8A5
恶意ProxyMain 合约1:0x5c4794d9f34fb74903cfafb3cff6e4054b90c167
恶意ProxyMain 合约2:0xF36C407F3C467e9364Ac1b2486aA199751BA177D
恶意Proxy合约创建者:0x5A58D1a81c73Dc5f1d56bA41e413Ee5288c65d7F
其中一笔漏洞利用交易:0x570cf199a84ab93b33e968849c346eb2b761db24b737d44536d1bcb010bca69d
攻击流程:
1.2023年12月12日22:20:35,EOA(0x5A58D1a8)创建了ProxyMain合约(0x5c4794d9);
2.2023年12月12日22:23:47,Proxy Admin Owner(0xc82Ea2af)通过Proxy Admin(0x3c18F855)将DEXProxy合约升级为新的执行合约(0x5c4794d9);
3.2023年12月12日23:52:47,EOA(0x5A58D1a8)创建了ProxyMain合约(0xF36C407F);
4.2023年12月12日23:53:59,Proxy Admin Owner(0xc82Ea2af)通过Proxy Admin(0x3c18F855)将DEXProxy合约升级为新的执行合约(0xF36C407F);
5.这两次升级合约的目的相同,新合约的功能是调用TokenApprove合约的claimTokens函数来完成转账。
1.在执行合约ProxyMain时,首先限制该合约的调用者必须是攻击者地址(0xFacf375A),然后执行Dex Aggregator合约的claimTokens函数;
2.在Dex Aggregator合约的claimTokens函数中,由于该合约尚未在 Etherscan 上开源,我们通过反编译获得了其源代码。从代码片段中可以看出,claimTokens函数会验证代理是否可信。一旦验证通过,它将调用OKX DEX: TokenApprove函数;
3.在OKX DEX: TokenApprove函数中,正常检测调用者是否是可信Proxy。与先前的可信Proxy验证相同,只要是可信Proxy并且用户已经授权TokenApprove,攻击者就能够窃取被授权用户的资金。
攻击和资产转移主要聚焦在如下3个地址:
攻击地址:0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter);
收款地址:0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2);
收款地址:0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)。
在这次攻击中,攻击地址只负责不断调用TokenApprove合约的claimTokens函数来发起转账,通过两个收款地址完成收款。
1.攻击地址 :0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter)在发起攻击前的历史交易:
Inflow:
Outflow:
分别向0x4187b2daf33764803714D22F3Ce44e8c9170A0f3转账20419USDT和1173USDT,通过中间地址0x4A0cF014849702C0c3c46C2df90F0CAd1E504328、Railgun:Relay以及多个中间地址转至0x7A20527ba5a749b3b054a821950Bfcc2C01b959f,该地址有高频次数值千以上的转入,然后以每笔300000USDT的形式转账至0x6b8DEfc76faA33EC11006CEa5176B1cec2078DfE,随后转入带有OKX标签的多个地址,e.g.
0x3D55CCb2a943d88D39dd2E62DAf767C69fD0179F(OKX 23) 0x68841a1806fF291314946EebD0cdA8b348E73d6D(OKX 26)
0xBDa23B750dD04F792ad365B5F2a6F1d8593796f2(OKX 21)
0x276cdBa3a39aBF9cEdBa0F1948312c0681E6D5Fd(OKX 22)
....
此外该地址还有通过Railgun:Relay转移部分USDT、通过Uniswap换币的行为。
2.收款地址1:0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2):
Inflow:
Outflow:
通过4个地址:
0xBbEa72B68138B9a1c3fec2f563E323d025510A4c
0x141F12aB25Fcd1c470a2ede34ad4ec49718B5209
0xFD681A9aA555391Ef772C53144db8404AEC76030
0x17865c33e40814d691663bC292b2F77000f94c34
分散资金,然后使用标签为Railgun:Relay & Railgun: Treasury的地址转移,最终通过标签为Stargate的地址转移410204.0USDT至BNB Smart Chain上。
3.收款地址2:0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)
通过中间地址0x48E3712C473364814Ac8d87a2A70a9004a42E9a3
转移62万USDT至
0xE8A66A5862Ba07381956449e58999DB541e4DE93
和0x8094b97A1663b7b73d6c76811355a734BA6F4A1A,
然后这两个地址又分别转移到两个新地址:
0xB31a2196050A3B861C65f23E180E56eD51cf75D7
和0x0C1f0233091D6ed371dC84A0ad1602209bCa429c,
最后通过标签为Stargate的地址转移617964.77到Avalanche C-Chain上。
黑客在OKX、Gate.io、MEXC多个交易所上可能开设有账号并进行过交易,可以进行针对性KYC取证,并且Kumo x World的项目合约部署地址也与黑客地址有直接的转账交易。
此次攻击事件的根本原因是Proxy Admin Owner(0xc82Ea2af) 的私钥泄露,导致升级了攻击者部署的恶意 Proxy。由于升级了新的恶意执行合约,该合约被列为可信任的 Proxy。TokenApprove 检测到恶意执行合约是可信的,因此攻击者可以窃取用户过多授权给 TokenApprove 的资金。所以,请务必保管好重要账户地址的私钥。
SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括链上大数据分析、链上风险预警、智能合约审计、加密资产追讨等服务,并打造了链上大数据分析和风险预警平台ChainAegis,平台支持无限层级的深度图分析,能有效对抗Web3世界的高级持续性威胁(Advanced Persistent Threat,APT)。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、Sui、OKX、imToken、ChainIDE等建立长期合作关系。
官网:https://www.sharkteam.org
Twitter:https://twitter.com/sharkteamorg
Discord:https://discord.gg/jGH9xXCjDZ
Telegram:https://t.me/sharkteamorg
所有评论