开年第一案,被盗 8000 万美元的 Orbit Chain 事件是怎么一回事?
北京时间 2024 年 1 月 1 日,据 Beosin 旗下 EagleEye 安全风险监控、预警与阻断平台监测显示,Orbit_Chain 项目遭受攻击损失至少约为 8000 万美元,经 Beosin Trace 分析,黑客地址(0x27e2cc59a64d705a6c3d3d306186c2a55dcd5710)早在 1 天以前就发起了小规模的攻击,并且将盗取的 ETH 作为了本次攻击的其余 5 个地址的转账手续费来源。
Orbit Chain 是一个跨链桥平台,用户可以在一条链上使用不同区块链的各种加密资产。现项目方已经暂停跨链桥合约并与黑客进行沟通。关于本次安全事件,Beosin 安全团队第一时间进行以下分析。
事件分析
此次事件主要是攻击者直接调用 Orbit Chain: Bridge 合约的 withdraw 函数将资产转移出去。
通过进一步分析 withdraw 函数的代码,我们可以发现该函数采用了验证签名的方式来确保放款的安全性和合法性。
在区块链交易中,验证签名是一种常见的安全机制,用于确认交易的发起者是否具有足够的权限和控制权。在 withdraw 函数中,通过验证签名的方式,可以确保只有经过授权的用户或合约才能成功调用该函数并进行资产转移。
进入签名验证函数(_validate)后,我们可以观察到该函数返回了 owner 签名的数量,这一信息对于验证交易的合法性和安全性至关重要。
通过返回 owner 签名数量,可以在一定程度上验证交易的合规性和真实性。根据具体的实现方式,owner 签名数量可能会与预先设定的阈值进行比较,以确定是否满足执行交易的条件。
随后判断该数量是否大于等于 required,如果满足条件,便进行放款。
可以通过链上数据得知,管理该合约的 owner 一共有 10 个地址。required 值为 7,说明要想提取资产,需要 70% 的管理员签署提取交易。 总结来说,事件发生的原因倾向于保存管理员私钥的服务器被欺骗攻击。
攻击流程
根据链上数据显示,黑客早在 2023-12-30 03:39:35 PM +UTC 开始就陆续发起了对 Orbit_Chain 项目的攻击,黑客盗取的 ETH 数额相对较小,并且将盗取的 ETH 发送给其余的数个黑客地址作为交易手续费。
其余数个黑客地址在 2023-12-31 9:00 PM +UTC 先后对 Orbit_Chain 项目的 DAI、WBTC、ETH、USDC、USDT 进行了攻击。
资金追踪
截止发稿,被盗资金转移情况如下图所示 , 黑客正式发起攻击后,将被盗资金转移到上述五个地址。在五笔独立的交易中,每笔交易都发送到一个新的钱包,Orbit Bridge 发送了 5000 万美元的稳定币(3000 万 Tether 、 1000 万 DAI 和 1000 万 USDC)、 231 枚 wBTC(约 1000 万美元)和 9500 枚 ETH(约 2150 万美元)。
Beosin Trace 追踪资金流向图
本次跨链桥安全事件再次给我们安全启示,提醒着我们在设计和实施区块链系统时,安全性应该始终是首要考虑的因素。
首先,我们需要注重代码的安全性。合约代码是区块链系统的核心组成部分,因此在编写和审查合约代码时,应该遵循最佳实践和安全标准,避免常见的安全漏洞和攻击向量。
其次,鉴权和身份验证是至关重要的。在区块链系统中,确保只有授权的用户或合约能够执行关键操作是防止未经授权访问和资产流失的关键。采用强大的身份验证机制、多重签名和权限管理等措施,可以有效地限制访问权限,并确保只有经过授权的实体能够进行敏感操作。
Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品 + 服务,公司致力于 Web3 生态的安全发展,已为全球 3000 多个企业提供区块链安全技术服务,包括 HashKey Group、Amber Group、BNB Chain 等,已审计智能合约和公链主网超 3000 份,包括 PancakeSwap、Ronin Network、OKCSwap 等。欢迎点击公众号留言框,与我们联系。
Beosin 安全年报阅读
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
机构资本入场,加密市场爆发进入倒计时
ZRCUSDT 现已上线合约交易和策略交易
Bitget 已于2024年11月25日(UTC+8)上线 ZRCUSDT 合约交易,最大杠杆为20倍,合约策略交易将同步开放。 欢迎通过我们的官方网站或 Bitget APP 开始合约交易。 ZRC U本位永续合约: 合约参数 详情 上线时间 2024年11月25日 19:10(UTC+8) 合约标的 ZRC 结算资产 USDT 最小变动价位 0.00001 最高杠杆倍数 20x 资金费用结算频率 每八个小时 交易时间 7*24 根据市场风险状况,Bitget可能调整包括最小变动价格、最高杠杆倍数、维持保证金率等重要合约参数; 【合约】 Bitget 的合约包括:U本位合约、币本位合约和
Bitget 现货策略新增 ZRC/USDT
我们很高兴的宣布,Bitget 现货策略现已新增: ZRC/USDT。 参考链接 1、 现货策略 2、 快速了解现货网格策略 免责声明 尽管加密货币有很高的投资潜力,但也具有很高的市场风险和波动性。所有交易策略均由您自行决定并自担风险,Bitget 不承担任何责任。
Magic Eden (ME):Solana 上最大的 NFT 市场
什么是Magic Eden(ME)? Magic Eden (ME) 是 NFT 领域的主要参与者。它最初是 Solana 区块链上最大的 NFT 市场,以交易速度快和费用低而闻名。随着时间的推移,该平台扩大了覆盖范围,支持以太坊、Polygon 和比特币上的 NFT。 Magic Eden 帮助用户交易数字收藏品并启动他们的 NFT 项目。无论您是创作 NFT 的艺术家、寻找稀有数字资产的收藏家,还是探索新机会的投资者,Magic Eden 都提供了一个用户友好的平台来参与这种不断发展的数字文化。 Magic Eden 每月拥有超过 2200 万访客、8,000 多个收藏品和 19 亿美元