Самое крупное в истории Ethereum событие безопасности: Холодный кошелек одной из交易平台 понес убытки в 1,46 миллиарда долларов
21 февраля 2025 года в 14:16:11 по UTC известная торговая платформа потеряла средства из-за кражи, связанной с обновлением вредоносного контракта в холодном кошельке Эфира. Генеральный директор платформы сообщил, что злоумышленники использовали фишинг, чтобы заставить подписанта холодного кошелька ошибочно подписать вредоносную транзакцию. Эта транзакция была замаскирована под нормальную операцию, интерфейс отображался как обычная транзакция, но данные, отправленные на аппаратное устройство, были изменены на вредоносное содержимое. Злоумышленники успешно получили три действительных подписи и заменили контракт реализации мультиподписанного кошелька Safe на вредоносную версию, таким образом, похитив средства. Этот инцидент привел к потерям около 1,46 миллиарда долларов, став крупнейшим событием безопасности в истории Web3.0.
Анализ процесса атаки
Злоумышленник развернул два вредоносных контракта с функциями бэкдора для перевода средств и обновления контракта за три дня до события.
21 февраля 2025 года злоумышленник заставил трех владельцев мультиподписных кошельков подписать злонамеренную транзакцию, обновив реализующий контракт Safe до злонамеренной версии с задней дверью.
Значение поля "operation" в атакующей транзакции равно "1", что указывает на выполнение контракта GnosisSafe функции "deleGatecall".
Эта транзакция выполнила делегированный вызов к другому контракту, развернутому атакующим, который содержит функцию "transfer()", при вызове которой изменяется первый слот хранения контракта.
Изменив первый слот хранения контракта Gnosis Safe, злоумышленник изменил адрес реализации контракта (т.е. адрес "masterCopy").
Метод обновления контракта, используемый атакующим, был специально разработан, чтобы избежать подозрений. С точки зрения подписывающего, подписанные данные выглядят как простой вызов функции "transfer(address, uint256)", а не как подозрительная функция "обновления".
Обновленный вредоносный смарт-контракт содержит функции-задние двери "sweepETH()" и "sweepERC20()", с помощью которых злоумышленник перевел все активы из холодного кошелька.
Анализ причин уязвимости
Основная причина этого инцидента заключается в успешной фишинговой атаке. Нападающий обманул подписателя кошелька, заставив его подписать злонамеренные данные транзакции, что привело к злонамеренному обновлению контракта, позволив нападающему контролировать холодный кошелек и перевести все средства.
Согласно объяснению CEO платформы, в момент инцидента команда осуществляла обычные операции по перемещению активов между холодным и горячим кошельком. Он отметил, что все подписанты видели правильные адреса и данные транзакций на интерфейсе, и URL был официально проверен. Однако, когда данные транзакции были отправлены на аппаратный кошелек для подписания, фактическое содержимое было изменено. CEO признал, что не проверил детали транзакции на интерфейсе аппаратного устройства.
В настоящее время нет единого мнения о том, как злоумышленники изменили интерфейс. Доказательства, предоставленные аналитиками блокчейна, указывают на то, что эту атаку могла спланировать и осуществить известная хакерская группа.
Уроки и рекомендации по предотвращению
Это событие имеет схожие черты с кражей в 50 миллионов долларов, произошедшей на одном DeFi платформе 16 октября 2024 года. Оба инцидента связаны с взломом оборудования и подменой интерфейса. Учитывая, что такие атаки становятся все более частыми, нам следует сосредоточить внимание на следующих двух аспектах:
1. Защита от вторжений устройств
Укрепление безопасности оборудования: внедрение строгих политик безопасности конечных точек, развертывание современных решений безопасности.
Используйте специальное устройство для подписи: подписывайте транзакции в изолированной среде, избегая использования многофункциональных устройств.
Использование временной операционной системы: настройка непостоянной операционной системы для критических операций, чтобы обеспечить чистоту среды.
Проведение симуляции фишинга: регулярно проводить симуляции атак фишинга на сотрудников с высоким риском для повышения осведомленности о безопасности.
Проведение красной команды атак и защиты: моделирование реальных атакующих сценариев, оценка и усиление существующих мер безопасности.
2. Избегайте рисков слепой подписи
Осторожно выбирайте платформу для взаимодействия: взаимодействуйте только с надежными платформами и используйте официальные закладки, чтобы избежать фишинговых ссылок.
Симуляция торговли: симулировать результаты торговли перед подписанием, чтобы проверить их правильность.
Использование командной строки: уменьшает зависимость от графического интерфейса и обеспечивает более прозрачный просмотр данных о транзакциях.
Принцип немедленного прекращения: при обнаружении любых аномалий немедленно остановить подпись и начать расследование.
Реализуйте двухфакторную аутентификацию: используйте независимое устройство для проверки данных транзакции и генерации читаемого кода подписи.
Этот инцидент еще раз подчеркивает серьезные уязвимости в области безопасности операций и обслуживания в индустрии Web3.0. С учетом постоянного усовершенствования методов атаки, торговые платформы и организации Web3.0 должны全面 повысить уровень безопасности и быть бдительными к непрекращающейся эволюции внешних угроз.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
9
Репост
Поделиться
комментарий
0/400
SignatureAnxiety
· 08-18 22:13
Почему так сложно подписать?
Посмотреть ОригиналОтветить0
AllInDaddy
· 08-18 20:46
Ну и дела, это огромный убыток.
Посмотреть ОригиналОтветить0
ForkThisDAO
· 08-17 20:37
Еще одна биржа обречена.
Посмотреть ОригиналОтветить0
RetiredMiner
· 08-17 03:40
Мошенническая схема "Забой свиней" эволюционировала в версию с Холодным кошельком?
Посмотреть ОригиналОтветить0
GasGuru
· 08-17 03:39
Начинаем! Мультиподпись тоже больше не надежна.
Посмотреть ОригиналОтветить0
SolidityStruggler
· 08-17 03:36
Каждый день говорим о безопасности, каждый день нас крадут
Эфир史上最大安全事件:биржа Холодный кошелек被盗14.6亿美元
Самое крупное в истории Ethereum событие безопасности: Холодный кошелек одной из交易平台 понес убытки в 1,46 миллиарда долларов
21 февраля 2025 года в 14:16:11 по UTC известная торговая платформа потеряла средства из-за кражи, связанной с обновлением вредоносного контракта в холодном кошельке Эфира. Генеральный директор платформы сообщил, что злоумышленники использовали фишинг, чтобы заставить подписанта холодного кошелька ошибочно подписать вредоносную транзакцию. Эта транзакция была замаскирована под нормальную операцию, интерфейс отображался как обычная транзакция, но данные, отправленные на аппаратное устройство, были изменены на вредоносное содержимое. Злоумышленники успешно получили три действительных подписи и заменили контракт реализации мультиподписанного кошелька Safe на вредоносную версию, таким образом, похитив средства. Этот инцидент привел к потерям около 1,46 миллиарда долларов, став крупнейшим событием безопасности в истории Web3.0.
Анализ процесса атаки
Злоумышленник развернул два вредоносных контракта с функциями бэкдора для перевода средств и обновления контракта за три дня до события.
21 февраля 2025 года злоумышленник заставил трех владельцев мультиподписных кошельков подписать злонамеренную транзакцию, обновив реализующий контракт Safe до злонамеренной версии с задней дверью.
Значение поля "operation" в атакующей транзакции равно "1", что указывает на выполнение контракта GnosisSafe функции "deleGatecall".
Эта транзакция выполнила делегированный вызов к другому контракту, развернутому атакующим, который содержит функцию "transfer()", при вызове которой изменяется первый слот хранения контракта.
Изменив первый слот хранения контракта Gnosis Safe, злоумышленник изменил адрес реализации контракта (т.е. адрес "masterCopy").
Метод обновления контракта, используемый атакующим, был специально разработан, чтобы избежать подозрений. С точки зрения подписывающего, подписанные данные выглядят как простой вызов функции "transfer(address, uint256)", а не как подозрительная функция "обновления".
Обновленный вредоносный смарт-контракт содержит функции-задние двери "sweepETH()" и "sweepERC20()", с помощью которых злоумышленник перевел все активы из холодного кошелька.
Анализ причин уязвимости
Основная причина этого инцидента заключается в успешной фишинговой атаке. Нападающий обманул подписателя кошелька, заставив его подписать злонамеренные данные транзакции, что привело к злонамеренному обновлению контракта, позволив нападающему контролировать холодный кошелек и перевести все средства.
Согласно объяснению CEO платформы, в момент инцидента команда осуществляла обычные операции по перемещению активов между холодным и горячим кошельком. Он отметил, что все подписанты видели правильные адреса и данные транзакций на интерфейсе, и URL был официально проверен. Однако, когда данные транзакции были отправлены на аппаратный кошелек для подписания, фактическое содержимое было изменено. CEO признал, что не проверил детали транзакции на интерфейсе аппаратного устройства.
В настоящее время нет единого мнения о том, как злоумышленники изменили интерфейс. Доказательства, предоставленные аналитиками блокчейна, указывают на то, что эту атаку могла спланировать и осуществить известная хакерская группа.
Уроки и рекомендации по предотвращению
Это событие имеет схожие черты с кражей в 50 миллионов долларов, произошедшей на одном DeFi платформе 16 октября 2024 года. Оба инцидента связаны с взломом оборудования и подменой интерфейса. Учитывая, что такие атаки становятся все более частыми, нам следует сосредоточить внимание на следующих двух аспектах:
1. Защита от вторжений устройств
2. Избегайте рисков слепой подписи
Этот инцидент еще раз подчеркивает серьезные уязвимости в области безопасности операций и обслуживания в индустрии Web3.0. С учетом постоянного усовершенствования методов атаки, торговые платформы и организации Web3.0 должны全面 повысить уровень безопасности и быть бдительными к непрекращающейся эволюции внешних угроз.