Perdas superiores a 10 milhões de dólares, análise de vulnerabilidades do incidente de segurança do UXLINK e rastreamento de fundos roubados.

Autor original: Beosin

Reproduzido: White55, Mars Finance

No dia 23 de setembro, a UXLINK foi atacada devido ao vazamento da chave privada da carteira multi-assinatura, com os atacantes gerando tokens UXLINK e vendendo-os, obtendo um lucro superior a 11,3 milhões de dólares. A equipe de segurança da Beosin realizou uma análise de vulnerabilidades e rastreamento de fundos deste incidente de ataque e compartilhou os resultados abaixo:

Revisão do evento

O contrato do projeto UXLINK sofreu uma violação de chave privada, resultando na adição do endereço do atacante como uma conta multi-assinatura do contrato e na remoção das outras contas multi-assinatura existentes. Além disso, o limite de assinatura do contrato foi redefinido para 1, permitindo que apenas o endereço do atacante assinasse para executar operações do contrato, dando ao atacante controle total sobre o contrato. Em seguida, o atacante começou a emitir mais tokens UXLINK e a vendê-los para obter lucro.

Os atacantes emitiram 5 vezes mais tokens, três endereços de recebimento de tokens 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 trocaram tokens UXLINK por ETH e DAI armazenados em endereços na cadeia ETH através de troca de moeda, intermediários e cross-chain.

Rastreamento de fundos roubados

Abaixo está a análise da equipe de segurança da Beosin sobre os principais fluxos de fundos neste incidente de segurança:

ARBITRUM cadeia

Endereço do hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Endereço roubado: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Valor roubado aproximado: 904.401 USDT

Após roubar os fundos, os hackers trocaram 904.401 USDT por 215,71 ETH e transferiram o ETH para o endereço Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c através de cross-chain.

Rede Ethereum

Endereço do hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Endereços roubados: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Roubo de fundos aproximadamente: 25,27 ETH, 5.564.402,99 USDT, 3,7 WBTC, 500.000 USDC

Após roubar os fundos, os hackers trocaram 5,564,402.99 USDT e 500,000 USDC por 6,068,370.29 DAI, e finalmente reuniram os fundos no endereço 0xac77b44a5f3acc54e3844a609fffd64f182ef931, cujo saldo atual é: 240.99 ETH, 6,068,370.29 DAI, 3.7 WBTC.

O principal fluxo de fundos entre Ethereum e Arbitrum é mostrado na figura abaixo:

De acordo com a análise da Beosin Trace, todos os fundos roubados ainda estão armazenados em vários endereços do atacante.

A Beosin Trace colocou todos os endereços relacionados aos atacantes na lista negra e continua a rastrear. Abaixo está a situação do saldo dos endereços relacionados aos atacantes até o momento: