Найбільша в історії Ethereum за масштабом безпекова подія: Холодний гаманець певної платформи зазнав збитків у розмірі 14,6 мільярда доларів
21 лютого 2025 року о 02:16:11 UTC холодний гаманець Ethereum відомої торгової платформи зазнав крадіжки коштів через шкідливе оновлення контракту. Генеральний директор платформи заявив, що зловмисники за допомогою фішингу змусили підписанта холодного гаманця помилково підписати шкідливу угоду. Ця угода була замаскована під нормальну операцію, інтерфейс відображався як звичайна угода, але дані, які надсилалися на апаратний пристрій, були змінені на шкідливий вміст. Зловмисники успішно отримали три дійсні підписи, замінивши реалізаційний контракт Safe мультипідпису на шкідливу версію, внаслідок чого було вкрадено кошти. Цей інцидент призвів до збитків приблизно в 1,46 мільярда доларів, ставши найбільшим інцидентом безпеки в історії Web3.0.
Аналіз процесу атаки
Злочинець розгорнув два шкідливі контракти з функціями задніх дверей для переміщення коштів та оновлення контрактів за три дні до події.
21 лютого 2025 року зловмисники змусили трьох власників багатопідписного Гаманець підписати шкідливу угоду, оновивши реалізаційний контракт Safe до шкідливої версії з бекдором.
Значення поля "operation" в атакуючій транзакції дорівнює "1", що вказує на виконання "deleGatecall" контрактом GnosisSafe.
Ця транзакція виконала делегований виклик до іншого контракту, розгорнутого атакуючим, який містить функцію "transfer()", при виклику якої змінюється перший слот пам'яті контракту.
Змінивши перший слот зберігання контракту Gnosis Safe, зловмисник змінив адресу реалізації контракту (тобто адресу "masterCopy").
Спосіб оновлення контракту, який використовує зловмисник, спеціально розроблений, щоб уникнути підозр. З точки зору підписувача, підписані дані виглядають як простий виклик функції "transfer(address, uint256)", а не підозріла функція "оновлення".
Після оновлення шкідливий реалізований контракт містить функції з бекдорами "sweepETH()" та "sweepERC20()", зловмисник, викликавши ці функції, перевів всі активи з холодного гаманця.
Аналіз кореня вразливості
Причинною цієї події є успішна фішинг-атака. Зловмисники спокусили підписувачів гаманця підписати шкідливі дані транзакції, що призвело до злочинного оновлення контракту, що дало змогу зловмисникам контролювати холодний гаманець і перевести всі кошти.
Згідно з поясненням CEO цієї платформи, під час інциденту команда виконувала звичайні операції з переміщення активів між холодним і гарячим гаманцем. Він зазначив, що всі підписанти на інтерфейсі бачили правильні адреси та дані транзакцій, а URL було перевірено офіційно. Проте, коли дані транзакції були надіслані до апаратного гаманця для підписання, фактичний вміст було змінено. CEO визнав, що не перевірив деталі транзакції повторно на інтерфейсі апаратного пристрою.
Наразі немає остаточних висновків щодо того, як зловмисники змогли змінити інтерфейс. Є докази, надані аналітиками блокчейну, що ця атака могла бути спланована та здійснена певною відомою хакерською організацією.
Уроки та рекомендації щодо запобігання
Ця подія має схожість з крадіжкою на суму 50 мільйонів доларів, що сталася на певній DeFi платформі 16 жовтня 2024 року. Обидві події пов'язані з вторгненням в обладнання та підміною інтерфейсу. У зв'язку з тим, що такі атаки стають дедалі частішими, нам слід зосередити увагу на наступних двох аспектах:
1. Запобігання вторгненням обладнання
Підвищення безпеки обладнання: впровадження суворих політик безпеки кінцевих точок, розгортання сучасних рішень безпеки.
Використовуйте спеціалізовані пристрої для підпису: підписуйте транзакції в ізольованому середовищі, уникаючи використання багатофункціональних пристроїв.
Використання тимчасової операційної системи: налаштування непостійної операційної системи для критичних операцій, щоб забезпечити чистоту середовища.
Проведення симуляцій фішингу: регулярно проводити симуляції атак фішингу на високоризикових осіб для підвищення обізнаності про безпеку.
Проведення червоних командних навчань: моделювання реальних атакуючих сцен, оцінка та посилення існуючих заходів безпеки.
2. Уникайте ризику сліпого підпису
Обережно обирайте платформи для взаємодії: взаємодійте лише з надійними платформами, використовуйте офіційні закладки для доступу, щоб уникнути фішингових посилань.
Двократна перевірка апаратного гаманця: уважно підтверджуйте деталі кожної транзакції на екрані апаратного пристрою.
Симуляція торгівлі: симуляція результатів торгівлі перед підписанням для перевірки їхньої правильності.
Використання командного рядка: зменшує залежність від графічного інтерфейсу, забезпечуючи більш прозорий перегляд даних про транзакції.
Принцип термінації при аномаліях: при виявленні будь-яких аномалій негайно зупинити підписання та розпочати розслідування.
Впровадження двохфакторної аутентифікації: використання незалежного пристрою для перевірки даних транзакції, генерація читабельного підпису коду підтвердження.
Ця подія ще раз підкреслила суттєві вразливості в безпеці експлуатації в індустрії Web3.0. У міру постійного вдосконалення методів атаки, торгові платформи та установи Web3.0 повинні всебічно підвищувати рівень безпеки, бути насторожі до постійної еволюції зовнішніх загроз.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
9
Репост
Поділіться
Прокоментувати
0/400
SignatureAnxiety
· 08-18 22:13
Чому так важко підписати?
Переглянути оригіналвідповісти на0
AllInDaddy
· 08-18 20:46
Добре, це велика втрата.
Переглянути оригіналвідповісти на0
ForkThisDAO
· 08-17 20:37
Ще одна біржа приречена
Переглянути оригіналвідповісти на0
RetiredMiner
· 08-17 03:40
Афери з "відгодівлею свиней" еволюціонували в версію холодного гаманця?
Найбільша в історії Ethereum подія безпеки: був вкрадений холодний гаманець біржі на 14,6 мільярда доларів
Найбільша в історії Ethereum за масштабом безпекова подія: Холодний гаманець певної платформи зазнав збитків у розмірі 14,6 мільярда доларів
21 лютого 2025 року о 02:16:11 UTC холодний гаманець Ethereum відомої торгової платформи зазнав крадіжки коштів через шкідливе оновлення контракту. Генеральний директор платформи заявив, що зловмисники за допомогою фішингу змусили підписанта холодного гаманця помилково підписати шкідливу угоду. Ця угода була замаскована під нормальну операцію, інтерфейс відображався як звичайна угода, але дані, які надсилалися на апаратний пристрій, були змінені на шкідливий вміст. Зловмисники успішно отримали три дійсні підписи, замінивши реалізаційний контракт Safe мультипідпису на шкідливу версію, внаслідок чого було вкрадено кошти. Цей інцидент призвів до збитків приблизно в 1,46 мільярда доларів, ставши найбільшим інцидентом безпеки в історії Web3.0.
Аналіз процесу атаки
Злочинець розгорнув два шкідливі контракти з функціями задніх дверей для переміщення коштів та оновлення контрактів за три дні до події.
21 лютого 2025 року зловмисники змусили трьох власників багатопідписного Гаманець підписати шкідливу угоду, оновивши реалізаційний контракт Safe до шкідливої версії з бекдором.
Значення поля "operation" в атакуючій транзакції дорівнює "1", що вказує на виконання "deleGatecall" контрактом GnosisSafe.
Ця транзакція виконала делегований виклик до іншого контракту, розгорнутого атакуючим, який містить функцію "transfer()", при виклику якої змінюється перший слот пам'яті контракту.
Змінивши перший слот зберігання контракту Gnosis Safe, зловмисник змінив адресу реалізації контракту (тобто адресу "masterCopy").
Спосіб оновлення контракту, який використовує зловмисник, спеціально розроблений, щоб уникнути підозр. З точки зору підписувача, підписані дані виглядають як простий виклик функції "transfer(address, uint256)", а не підозріла функція "оновлення".
Після оновлення шкідливий реалізований контракт містить функції з бекдорами "sweepETH()" та "sweepERC20()", зловмисник, викликавши ці функції, перевів всі активи з холодного гаманця.
Аналіз кореня вразливості
Причинною цієї події є успішна фішинг-атака. Зловмисники спокусили підписувачів гаманця підписати шкідливі дані транзакції, що призвело до злочинного оновлення контракту, що дало змогу зловмисникам контролювати холодний гаманець і перевести всі кошти.
Згідно з поясненням CEO цієї платформи, під час інциденту команда виконувала звичайні операції з переміщення активів між холодним і гарячим гаманцем. Він зазначив, що всі підписанти на інтерфейсі бачили правильні адреси та дані транзакцій, а URL було перевірено офіційно. Проте, коли дані транзакції були надіслані до апаратного гаманця для підписання, фактичний вміст було змінено. CEO визнав, що не перевірив деталі транзакції повторно на інтерфейсі апаратного пристрою.
Наразі немає остаточних висновків щодо того, як зловмисники змогли змінити інтерфейс. Є докази, надані аналітиками блокчейну, що ця атака могла бути спланована та здійснена певною відомою хакерською організацією.
Уроки та рекомендації щодо запобігання
Ця подія має схожість з крадіжкою на суму 50 мільйонів доларів, що сталася на певній DeFi платформі 16 жовтня 2024 року. Обидві події пов'язані з вторгненням в обладнання та підміною інтерфейсу. У зв'язку з тим, що такі атаки стають дедалі частішими, нам слід зосередити увагу на наступних двох аспектах:
1. Запобігання вторгненням обладнання
2. Уникайте ризику сліпого підпису
Ця подія ще раз підкреслила суттєві вразливості в безпеці експлуатації в індустрії Web3.0. У міру постійного вдосконалення методів атаки, торгові платформи та установи Web3.0 повинні всебічно підвищувати рівень безпеки, бути насторожі до постійної еволюції зовнішніх загроз.