Phân tích kỹ thuật về vụ đánh cắp khoảng 11,3 triệu USD của UXLINK

Tiêu đề gốc: "Phân tích kỹ thuật vụ đánh cắp khoảng 11.3 triệu USD của UXLINK"
Nguồn gốc: ExVul Security

Mô tả sự kiện

Ngày 23 tháng 9, khóa riêng của ví đa chữ ký của dự án UXLINK bị rò rỉ, dẫn đến việc khoảng 11.3 triệu USD tài sản tiền mã hóa bị đánh cắp và đã được chuyển tán loạn đến nhiều sàn giao dịch tập trung (CEX) và phi tập trung (DEX). Ngay khi vụ tấn công xảy ra, chúng tôi đã phối hợp với UXLINK để điều tra, phân tích vụ tấn công này và giám sát dòng tiền. UXLINK đã khẩn cấp liên hệ với các sàn giao dịch lớn để yêu cầu đóng băng các khoản tiền khả nghi, đồng thời đã trình báo với cảnh sát và các cơ quan liên quan để tìm kiếm sự hỗ trợ pháp lý và thu hồi tài sản. Phần lớn tài sản của hacker đã bị các sàn giao dịch lớn đánh dấu và đóng băng, từ đó giảm thiểu tối đa rủi ro tiếp theo cho cộng đồng. Đội ngũ dự án cam kết duy trì sự minh bạch với cộng đồng, ExVul cũng sẽ tiếp tục phân tích và theo dõi tiến trình của sự kiện.

（）

Tiến triển mới nhất

Trong quá trình dòng tiền của hacker luân chuyển, các khoản tiền chảy vào sàn giao dịch đã bị đóng băng. Qua truy vết chuỗi ban đầu phát hiện, hacker trước đó đã đánh cắp tài sản của UXLINK, nghi ngờ đã gặp phải tấn công phishing Inferno
Drainer. Sau khi xác minh, khoảng 542 triệu token $UXLINK mà hacker chiếm đoạt bất hợp pháp đã bị đánh cắp thông qua phương thức "ủy quyền phishing".

Phân tích tấn công

1. Trước đó, do Owner đa chữ ký của hợp đồng có hành vi độc hại hoặc bị rò rỉ khóa riêng, địa chỉ độc hại đã được thêm vào làm thành viên đa chữ ký, đồng thời ngưỡng chữ ký (threshold) của hợp đồng bị đặt lại thành 1, tức chỉ cần một tài khoản ký là có thể thực hiện thao tác hợp đồng. Hacker đã thiết lập địa chỉ Owner mới là 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87.

()

2. Kẻ tấn công đầu tiên gọi hàm execTransaction trong hợp đồng Gnosis Safe Proxy. Hàm này trở thành điểm vào để loại bỏ thành viên đa chữ ký một cách độc hại, tất cả các thao tác độc hại tiếp theo đều được thực hiện trong giao dịch này.

()

3. Khi gọi execTransaction, kẻ tấn công đã chỉ định một thao tác độc hại trong tham số data: gọi hợp đồng thực hiện Safe: Multi Send Call
Only 1.3.0 thông qua delegatecall.

()

4. Trong hàm multiSend của Safe: Multi Send Call Only 1.3.0, luồng thực thi được gọi lại về hàm removeOwner của hợp đồng Gnosis Safe Proxy. Cụ thể: kẻ tấn công trước tiên thông qua delegatecall thực hiện trên hợp đồng proxy đã gọi hợp đồng thực hiện MultiSend, khiến nó chạy multiSend trong ngữ cảnh của hợp đồng proxy; sau đó, multiSend dựa trên tham số do hacker xây dựng, gọi lại hợp đồng Gnosis Safe Proxy bằng cách gọi call và kích hoạt hàm removeOwner, từ đó loại bỏ địa chỉ Owner hiện tại.

()

5. Yếu tố then chốt để gọi thành công là đáp ứng điều kiện msg.sender== address(this). Trong hàm removeOwner, để ngăn chặn gọi trực tiếp từ bên ngoài, hợp đồng đã thiết lập xác thực authorized, logic bên trong thường yêu cầu người gọi phải là chính hợp đồng (msg.sender == address(this)). Do đó, chỉ khi luồng nội bộ của hợp đồng gọi lại chính nó, removeOwner mới được thực thi thành công.

6. Hacker đã lần lượt xóa các Owner khác trong đa chữ ký bằng phương pháp trên, phá vỡ cơ chế đa chữ ký và cuối cùng kiểm soát hợp đồng.

7. Đến đây, kẻ tấn công liên tục lặp lại các bước trên, khiến cơ chế bảo mật đa chữ ký ban đầu hoàn toàn vô hiệu. Lúc này, chỉ cần chữ ký của một Owner độc hại là có thể vượt qua xác thực đa chữ ký, từ đó kiểm soát hoàn toàn hợp đồng.

()

Tổng kết

Do Owner đa chữ ký có hành vi độc hại hoặc bị rò rỉ khóa riêng, kẻ tấn công đã thêm địa chỉ độc hại làm thành viên đa chữ ký và đặt ngưỡng chữ ký (threshold) của Gnosis Safe Proxy thành 1, khiến thiết kế bảo mật đa chữ ký ban đầu hoàn toàn vô hiệu. Sau đó, chỉ cần một Owner độc hại là có thể vượt qua xác thực đa chữ ký. Kẻ tấn công tiếp tục loại bỏ dần các Owner khác trong hợp đồng, cuối cùng kiểm soát hoàn toàn hợp đồng và tiếp tục chuyển tài sản hợp đồng, đồng thời mint token $UXLINK độc hại trên chuỗi.

Sự kiện tấn công lần này đã làm nổi bật vai trò then chốt của quản lý đa chữ ký trong bảo mật blockchain. Mặc dù dự án đã sử dụng cơ chế đa chữ ký Safe và cấu hình nhiều tài khoản đa chữ ký, nhưng do phương thức quản lý có lỗ hổng, cuối cùng khiến thiết kế đa chữ ký trở nên vô nghĩa. Đội ngũ ExVul khuyến nghị, phía dự án nên thực hiện phân tán hóa trong quản lý đa chữ ký, ví dụ như mỗi thành viên giữ riêng khóa riêng, đồng thời áp dụng nhiều phương thức lưu trữ khóa riêng khác nhau, từ đó đảm bảo cơ chế đa chữ ký thực sự phát huy hiệu quả bảo vệ an toàn như mong đợi.

Phụ lục

Dưới đây là các địa chỉ nghi ngờ là của hacker do đội ngũ ExVul truy vết trên chuỗi: