Kerugian lebih dari 10 juta dolar AS, analisis kerentanan peristiwa keamanan UXLINK dan pelacakan dana yang dicuri

Penulis asli: Beosin

Repost: White55, Mars Finance

Pada 23 September, UXLINK diserang akibat kebocoran kunci pribadi dompet multisig, di mana penyerang mencetak token UXLINK dan menjualnya untuk meraup keuntungan lebih dari 11,3 juta dolar AS. Tim keamanan Beosin melakukan analisis kerentanan dan pelacakan dana terhadap kejadian serangan ini, dan akan membagikan hasilnya sebagai berikut:

Tinjauan Peristiwa

Kontrak proyek UXLINK mengalami kebocoran kunci pribadi, yang menyebabkan alamat penyerang ditambahkan sebagai akun multi-tanda tangan pada kontrak tersebut dan menghapus akun multi-tanda tangan lainnya yang ada sebelumnya. Selain itu, ambang tanda tangan kontrak direset menjadi 1, sehingga hanya diperlukan tanda tangan dari alamat penyerang untuk melakukan operasi kontrak, memberikan penyerang kendali penuh atas kontrak. Selanjutnya, penyerang mulai mencetak ulang token UXLINK dan menjualnya untuk mendapatkan keuntungan.

Penyerang telah mencetak ulang token sebanyak 5 kali, tiga alamat penerima token 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 menukarkan token UXLINK menjadi ETH dan DAI yang disimpan di alamat rantai ETH melalui pertukaran koin, perantara, dan lintas rantai.

Pelacakan dana yang dicuri

Berikut adalah analisis tim keamanan Beosin terhadap aliran dana utama dalam insiden keamanan kali ini:

RANTAI ARBITRUM

Alamat hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Alamat yang dicuri: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Jumlah yang dicuri sekitar: 904.401 USDT

Setelah mencuri dana, peretas menukarkan 904.401 USDT menjadi 215,71 ETH dan mentransfer ETH tersebut ke alamat Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c melalui lintas rantai.

Rantai Ethereum

Alamat hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Alamat yang dicuri: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Jumlah dana yang dicuri sekitar: 25,27 ETH, 5.564.402,99 USDT, 3,7 WBTC, 500.000 USDC

Setelah mencuri dana, peretas menukar 5.564.402,99 USDT dan 500.000 USDC menjadi 6.068.370,29 DAI, dan akhirnya mengumpulkan dana ke alamat 0xac77b44a5f3acc54e3844a609fffd64f182ef931, alamat tersebut saat ini memiliki saldo: 240,99 ETH, 6.068.370,29 DAI, 3,7 WBTC.

Arus dana utama antara Ethereum dan Arbitrum ditunjukkan pada gambar di bawah ini:

Menurut analisis Beosin Trace, semua dana yang dicuri masih disimpan di berbagai alamat penyerang.

Beosin Trace telah menambahkan semua alamat terkait penyerang ke dalam daftar hitam dan terus melacak. Berikut adalah situasi saldo alamat terkait penyerang saat ini: