全球数字财富领导者

SharkTeam:OKX DEX攻击事件分析及链上资产追踪

2023-12-15 11:47:02
金色财经
金色财经
关注
0
0
获赞
粉丝
喜欢 0 0收藏举报
— 分享 —
摘要:2023年12月12日,OKX DEX Proxy 管理员私钥疑似泄露,攻击者已获利约270万美元。

来源:SharkTeam

2023年12月12日,OKX DEX Proxy 管理员私钥疑似泄露,攻击者已获利约270万美元。

SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。

一、攻击事件分析

OKX: Dex Aggregator合约:0x70cbb871e8f30fc8ce23609e9e0ea87b6b222f58

UpgradeableProxy 合约:0x55b35bf627944396f9950dd6bddadb5218110c76

Proxy Admin Owner: 0xc82Ea2afE1Fd1D61C4A12f5CeB3D7000f564F5C6

Proxy Admin合约:0x3c18F8554362c3F07Dc5476C3bBeB9Fdd6F6a500

攻击发起者地址:0xFacf375Af906f55453537ca31fFA99053A010239

资金流向地址1:0x1f14e38666cdd8e8975f9acc09e24e9a28fbc42d

资金流向地址2:0x0519eFACB73A1f10b8198871E58D68864e78B8A5

恶意ProxyMain 合约1:0x5c4794d9f34fb74903cfafb3cff6e4054b90c167

恶意ProxyMain 合约2:0xF36C407F3C467e9364Ac1b2486aA199751BA177D

恶意Proxy合约创建者:0x5A58D1a81c73Dc5f1d56bA41e413Ee5288c65d7F

其中一笔漏洞利用交易:0x570cf199a84ab93b33e968849c346eb2b761db24b737d44536d1bcb010bca69d

攻击流程:

1.2023年12月12日22:20:35,EOA(0x5A58D1a8)创建了ProxyMain合约(0x5c4794d9);

20231215100826351image.png

2.2023年12月12日22:23:47,Proxy Admin Owner(0xc82Ea2af)通过Proxy Admin(0x3c18F855)将DEXProxy合约升级为新的执行合约(0x5c4794d9);

20231215100858901image.png

3.2023年12月12日23:52:47,EOA(0x5A58D1a8)创建了ProxyMain合约(0xF36C407F);

20231215100913202image.png

4.2023年12月12日23:53:59,Proxy Admin Owner(0xc82Ea2af)通过Proxy Admin(0x3c18F855)将DEXProxy合约升级为新的执行合约(0xF36C407F);

20231215100924263image.png

5.这两次升级合约的目的相同,新合约的功能是调用TokenApprove合约的claimTokens函数来完成转账。

20231215100931679image.png

二、攻击原理分析

1.在执行合约ProxyMain时,首先限制该合约的调用者必须是攻击者地址(0xFacf375A),然后执行Dex Aggregator合约的claimTokens函数;

20231215101045949image.png

2.在Dex Aggregator合约的claimTokens函数中,由于该合约尚未在 Etherscan 上开源,我们通过反编译获得了其源代码。从代码片段中可以看出,claimTokens函数会验证代理是否可信。一旦验证通过,它将调用OKX DEX: TokenApprove函数;

20231215101052748image.png

3.在OKX DEX: TokenApprove函数中,正常检测调用者是否是可信Proxy。与先前的可信Proxy验证相同,只要是可信Proxy并且用户已经授权TokenApprove,攻击者就能够窃取被授权用户的资金。

20231215101059267image.png

三、链上资产追踪

攻击和资产转移主要聚焦在如下3个地址:

攻击地址:0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter);

收款地址:0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2);

收款地址:0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)。

在这次攻击中,攻击地址只负责不断调用TokenApprove合约的claimTokens函数来发起转账,通过两个收款地址完成收款。

1.攻击地址 :0xFacf375Af906f55453537ca31fFA99053A010239 (OKX Exploiter)在发起攻击前的历史交易:

Inflow:

20231215101113188image.png

Outflow:

分别向0x4187b2daf33764803714D22F3Ce44e8c9170A0f3转账20419USDT和1173USDT,通过中间地址0x4A0cF014849702C0c3c46C2df90F0CAd1E504328、Railgun:Relay以及多个中间地址转至0x7A20527ba5a749b3b054a821950Bfcc2C01b959f,该地址有高频次数值千以上的转入,然后以每笔300000USDT的形式转账至0x6b8DEfc76faA33EC11006CEa5176B1cec2078DfE,随后转入带有OKX标签的多个地址,e.g.

0x3D55CCb2a943d88D39dd2E62DAf767C69fD0179F(OKX 23) 0x68841a1806fF291314946EebD0cdA8b348E73d6D(OKX 26)

0xBDa23B750dD04F792ad365B5F2a6F1d8593796f2(OKX 21)

0x276cdBa3a39aBF9cEdBa0F1948312c0681E6D5Fd(OKX 22)

....

此外该地址还有通过Railgun:Relay转移部分USDT、通过Uniswap换币的行为。

20231215101139717image.png

2.收款地址1:0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d (OKX Exploiter2):

Inflow:

20231215101146279image.png

Outflow:

通过4个地址:

0xBbEa72B68138B9a1c3fec2f563E323d025510A4c

0x141F12aB25Fcd1c470a2ede34ad4ec49718B5209

0xFD681A9aA555391Ef772C53144db8404AEC76030

0x17865c33e40814d691663bC292b2F77000f94c34

分散资金,然后使用标签为Railgun:Relay & Railgun: Treasury的地址转移,最终通过标签为Stargate的地址转移410204.0USDT至BNB Smart Chain上。

3.收款地址2:0x0519eFACB73A1f10b8198871E58D68864e78B8A5 (OKX Exploiter3)

通过中间地址0x48E3712C473364814Ac8d87a2A70a9004a42E9a3

转移62万USDT至

0xE8A66A5862Ba07381956449e58999DB541e4DE93

和0x8094b97A1663b7b73d6c76811355a734BA6F4A1A,

然后这两个地址又分别转移到两个新地址:

0xB31a2196050A3B861C65f23E180E56eD51cf75D7

和0x0C1f0233091D6ed371dC84A0ad1602209bCa429c,

最后通过标签为Stargate的地址转移617964.77到Avalanche C-Chain上。

20231215101204715image.png

黑客在OKX、Gate.io、MEXC多个交易所上可能开设有账号并进行过交易,可以进行针对性KYC取证,并且Kumo x World的项目合约部署地址也与黑客地址有直接的转账交易。

四、安全建议

此次攻击事件的根本原因是Proxy Admin Owner(0xc82Ea2af) 的私钥泄露,导致升级了攻击者部署的恶意 Proxy。由于升级了新的恶意执行合约,该合约被列为可信任的 Proxy。TokenApprove 检测到恶意执行合约是可信的,因此攻击者可以窃取用户过多授权给 TokenApprove 的资金。所以,请务必保管好重要账户地址的私钥。

来源:金色财经

敬告读者:本文为转载发布,不代表本网站赞同其观点和对其真实性负责。FX168财经仅提供信息发布平台,文章或有细微删改。
go