学院 热点聚焦 文章

欧科云链链上天眼:CEX安全事件频发,热钱包为何沦为黑客捞金所?

2021.12.14 0x6617

一、背景

12月12日凌晨4时(HKT),欧科云链链上天眼团队注意到,顶峰AscendEX交易平台热钱包出现代币异常转移的情况,转账涉及Ethereum、BSC、Polygon、Litecoin以及BCH网络,造成总计7,000至8,000万美元的损失。

而就在一周前,12月5日,中心化加密资产交易平台BitMart因Ethereum和BSC网络热钱包存在大规模安全漏洞,导致约1.5亿美元资产被盗,涉及SHIB、MATIC、CRO、SAND、GALA等84种代币,黑客已经使用1inch、Tornado.Cash等工具转移被盗资金。

短短7天时间,两大中心化交易平台,至少2.2亿美元资产被盗,不免引起市场对于CEX安全问题的热议,尤其是近几年随着去中心化金融(DeFi)的迅速发展,并成为市场的主要驱动力之一,再加上中心化交易平台安全技术的持续升级,黑客的目标确实有所转移,因此短期内这2起较为大型的安全事故,才引起了市场的震颤。

经链上天眼团队分析,这两起攻击事件都与热钱包私钥被盗有关,考虑到近期关于Apache Log4j2的一个高危漏洞细节被公开,攻击者可直接构造恶意请求,触发远程代码执行漏洞,因此我们推测可能与攻击者直接拿到钱包地址的控制权限,通过Apache Log 4j2漏洞进行远程命令执行有关。

二、攻击细节分析

链上天眼团队针对两起安全事件进行了分析,以下为具体分析过程。

1. AscendEX

截至12月14日,ETH网络损失6,000万美元,BSC网络损失920万美元,Polygon网络损失850万美元,而BCH和LTC仍需等待官方进一步的披露,针对ETH链,链上天眼团队附上了黑客相关地址,以及资金的流转链路。

首先攻击者利用热钱包漏洞使得AscendEX热钱包地址「0x986a」向黑客地址1「0x2c69」发起多笔未经授权的转账,接着黑客地址1「0x2c69」将资金转移至黑客地址2「0x9eEE」,然后再将资金拆分汇至黑客地址3「0x5629」和黑客地址4「0x70Dc」。

图片来源:链上天眼团队绘制

2. BitMart

通过链上天眼Pro追踪工具,输入黑客地址1「0x39fb」和黑客地址2「0x4bb」,我们获得了以下两张资金流入流出图。

图片来源:链上天眼Pro

经过整理、分析,链上天眼团队绘制出了黑客链上操作流程图。

图片来源:链上天眼团队绘制

1)攻击者盗取BitMart私钥后,攻击BitMart热钱包「0x68b2」,从热钱包「0x68b2」转出到黑客地址1「0x39fb」和黑客地址2「0x4bb7」,再经由1inch变现和Tornado.Cash混币后转移资金;

2)在【盗取BitMart私钥】时,黑客地址1「0x39fb」和黑客地址2「0x4bb7」分别获得了AKITA、ARX、AXS等84种ERC20代币,另外黑客地址1「0x39fb」还获得了ETH;

3)攻击者调取【1inch合约变现】,分别将黑客地址1「0x39fb」和黑客地址2「0x4bb7」的ERC20兑换成18,045 ETH和3,110 ETH,再转移至黑客地址2「0x4bb7」;

4)攻击者通过Tornado.Cash分别将黑客地址1「0x39fb」的100 ETH和黑客地址2「0x4bb7」的21,170 ETH进行【混币】

三、总结

经链上天眼团队分析,AscendEX和BitMart两起中心化交易所被攻击事件源于热钱包私钥被盗,结合近期Apache Log4j2漏洞,我们猜测可能与该漏洞有关,但不排除其他原因。Apache Log4j2是一款流行的Java日志框架,官方已经发布补丁,建议广大交易平台、钱包、项目方等抓紧自查并升级该版本。

此外,链上天眼团队已经对相关地址进行了监控,并将持续进行追踪。

虽然黑客攻击和网络犯罪无法完全禁止,无论是CEX还是DeFi,安全问题都应当被视为是重中之重,我们也希望行业能从每一次攻击中反思,提升安全性。

免责声明:OKLink学院仅提供信息参考,不构成任何投资建议。

相关推荐

hot-news