Perdas superiores a 10 milhões de dólares, análise de vulnerabilidades do incidente de segurança do UXLINK e rastreamento de fundos roubados

No dia 23 de setembro, a UXLINK foi atacada devido ao vazamento da chave privada da carteira com várias assinaturas. O atacante lucrou mais de 11,3 milhões de dólares ao cunhar tokens UXLINK e vendê-los. A equipe de segurança da Beosin realizou uma análise de vulnerabilidades e rastreamento de fundos sobre este incidente de ataque, e compartilhou os resultados a seguir:

####Revisão do evento

O contrato do projeto UXLINK foi comprometido devido ao vazamento da chave privada, resultando na adição do endereço do atacante como uma conta de múltiplas assinaturas do contrato e na remoção das outras contas de múltiplas assinaturas existentes. Além disso, o limite de assinatura do contrato foi redefinido para 1, permitindo que apenas o endereço do atacante realizasse a assinatura para executar operações no contrato, dando ao atacante controle total sobre o contrato. Em seguida, o atacante começou a emitir mais tokens UXLINK e a vendê-los para obter lucro.

O atacante emitiu 5 vezes tokens, três endereços que recebem tokens 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 trocaram os tokens UXLINK por ETH e DAI através de troca, intermediário e cross-chain, armazenando-os no endereço da cadeia ETH.

####rastreamento de fundos roubados

Abaixo está a análise da equipe de segurança Beosin sobre os principais fluxos de fundos neste incidente de segurança:

#####Cadeia ARBITRUM

Endereço do hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Endereço roubado: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Valor roubado aproximadamente: 904,401 USDT

Após roubar os fundos, o hacker trocou 904,401 USDT por 215.71 ETH e transferiu o ETH para o endereço Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c através de uma ponte.

#####Ethereum链

Endereço do hacker: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Endereços roubados: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Roubo de fundos aproximadamente: 25,27 ETH, 5.564.402,99 USDT, 3,7 WBTC, 500 mil USDC

Após roubar os fundos, os hackers trocaram 5,564,402.99 USDT e 500,000 USDC por 6,068,370.29 DAI, e finalmente reuniram os fundos no endereço 0xac77b44a5f3acc54e3844a609fffd64f182ef931, cujo saldo atual é: 240.99 ETH, 6,068,370.29 DAI, 3.7 WBTC.

Os principais fluxos de fundos entre Ethereum e Arbitrum estão mostrados na figura abaixo:

De acordo com a análise da Beosin Trace, todos os fundos roubados ainda estão armazenados em vários endereços do atacante.

A Beosin Trace colocou todos os endereços relacionados aos atacantes na lista negra e continua a monitorar. Abaixo está a situação do saldo dos endereços relacionados aos atacantes até o momento: