Pérdidas superiores a 10 millones de dólares, análisis de vulnerabilidades del incidente de seguridad de UXLINK y seguimiento de los fondos robados.

Autor original: Beosin

Reimpresión: White55, Mars Finance

El 23 de septiembre, UXLINK fue atacado debido a la filtración de la clave privada de su billetera multisig, y el atacante obtuvo más de 11.3 millones de dólares al acuñar tokens de UXLINK y venderlos. El equipo de seguridad de Beosin realizó un análisis de vulnerabilidades y un seguimiento de los fondos en este incidente de ataque, y comparte los resultados a continuación:

Revisión de eventos

El contrato del proyecto UXLINK fue comprometido debido a la filtración de una clave privada, lo que permitió que la dirección del atacante fuera añadida como una cuenta multisig en su contrato y se eliminaran las otras cuentas multisig originales. Además, el umbral de firma del contrato fue restablecido a 1, por lo que solo se requería la firma de la dirección del atacante para ejecutar operaciones del contrato, lo que permitió al atacante obtener el control total del mismo. Posteriormente, el atacante comenzó a emitir más tokens UXLINK y a venderlos para obtener ganancias.

Los atacantes emitieron 5 veces tokens, y las tres direcciones que recibieron los tokens son 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3, que a través de intercambio, transferencia y puente cruzado cambiaron los tokens UXLINK por ETH y DAI, almacenándolos en la dirección de la cadena ETH.

Rastreo de fondos robados

A continuación se presenta el análisis del equipo de seguridad de Beosin sobre los principales flujos de fondos en este incidente de seguridad:

cadena ARBITRUM

Dirección del hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Dirección robada: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Monto robado aproximadamente: 904,401 USDT

Después de robar los fondos, el hacker intercambió 904,401 USDT por 215.71 ETH y transfirió el ETH a la dirección de Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c a través de la cadena cruzada.

cadena de Ethereum

Dirección del hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Direcciones robadas: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Fondos robados aproximadamente: 25.27 ETH, 5,564,402.99 USDT, 3.7 WBTC, 500,000 USDC

Después de robar los fondos, los hackers intercambiaron 5,564,402.99 USDT y 500,000 USDC por 6,068,370.29 DAI, y finalmente agruparon los fondos en la dirección 0xac77b44a5f3acc54e3844a609fffd64f182ef931, cuyo saldo actual es: 240.99 ETH, 6,068,370.29 DAI, 3.7 WBTC.

Las principales corrientes de fondos entre Ethereum y Arbitrum se muestran en la siguiente imagen:

Según el análisis de Beosin Trace, todos los fondos robados aún se encuentran en varias direcciones del atacante.

Beosin Trace ha añadido a la lista negra todas las direcciones relacionadas con los atacantes y continúa rastreándolas. A continuación se muestra la situación del saldo de las direcciones relacionadas con los atacantes en este momento: