UXLINK bị đánh cắp khoảng 11,3 triệu đô la: Phân tích kỹ thuật

Mô tả sự cố

Vào ngày 23 tháng 9, khóa riêng ví đa chữ ký của dự án UXLINK đã bị rò rỉ, dẫn đến việc đánh cắp khoảng 11,3 triệu đô la tài sản tiền điện tử, được phân tán trên nhiều sàn giao dịch tập trung (CEX) và phi tập trung (DEX). Ngay sau vụ tấn công, chúng tôi đã hợp tác với UXLINK để điều tra, phân tích vụ tấn công và theo dõi dòng tiền. UXLINK đã khẩn trương liên hệ với các sàn giao dịch lớn để yêu cầu đóng băng số tiền bị nghi ngờ và đã nộp báo cáo lên cảnh sát và các cơ quan liên quan để tìm kiếm sự hỗ trợ pháp lý và thu hồi tài sản. Phần lớn tài sản của tin tặc đã bị các sàn giao dịch lớn đóng băng, giảm thiểu rủi ro cho cộng đồng. Dự án vẫn cam kết minh bạch với cộng đồng, và ExVul sẽ tiếp tục phân tích và theo dõi sự cố.

（https://x.com/UXLINKofficial/status/1970181382107476362）

Diễn biến mới nhất

Trong quá trình chuyển tiền của tin tặc, số tiền chảy vào các sàn giao dịch đã bị đóng băng. Theo dõi sơ bộ trên chuỗi cho thấy tin tặc đã đánh cắp tài sản UXLINK trước đó bị nghi ngờ là nạn nhân của một cuộc tấn công lừa đảo Inferno Drainer. Việc xác minh cho thấy khoảng 542 triệu token $UXLINK đã bị đánh cắp bất hợp pháp thông qua "lừa đảo được ủy quyền".

Giao dịch lừa đảo bị hack: https://arbiscan.io/tx/0xa70674ccc9caa17d6efaf3f6fcbd5dec40011744c18a1057f391a822f11986ee

Đúc $UXLINK 1B trái phép: https://arbiscan.io/tx/0x2466caf408248d1b6fc6fd9d7ec8eb8d8e70cab52dacff1f94b056c10f253bc2

Phân tích tấn công

1. Hợp đồng trước đó đã bị Chủ sở hữu ký đè. Thao túng độc hại hoặc rò rỉ khóa riêng đã khiến một địa chỉ độc hại được thêm vào dưới dạng tài khoản đa chữ ký, và ngưỡng chữ ký của hợp đồng được đặt lại về 1, nghĩa là chỉ cần một chữ ký tài khoản duy nhất để thực hiện hợp đồng. Tin tặc đã đặt địa chỉ Chủ sở hữu mới là 0x2EF43c1D0c88C071d242B6c2D0430e1751607B87.2. Kẻ tấn công trước tiên gọi hàm execTransaction trong hợp đồng Gnosis Safe Proxy. Hàm này đóng vai trò là điểm vào để xóa các thành viên đa chữ ký một cách ác ý, và tất cả các hoạt động độc hại tiếp theo đều được thực thi trong giao dịch này.