Cointime

Cointime

Download App
iOS & Android

Подробное объяснение инцидента с Socket-атакой

Validated Project

16 января 2024 года компания Socket Tech подверглась атаке, в результате которой был нанесен ущерб примерно в 3,3 миллиона долларов США. Злоумышленник воспользовался уязвимостью в ссылке проверки данных Socket-контракта и похитил средства пользователя авторизованного контракта посредством вредоносного ввода данных. В результате этой атаки было потеряно в общей сложности 230 адресов, а самая крупная потеря одного адреса составила примерно 656 000 долларов США.

Предыстория

Socket — это протокол взаимодействия, обеспечивающий безопасную и эффективную передачу данных и активов между цепочками. Контракт Socket Gateway — это точка доступа для всех взаимодействий с уровнем ликвидности Socket, где все мосты активов и DEX сходятся в один мета-мост и выбирают лучшие транзакции на основе предпочтений пользователя, таких как стоимость, задержка или маршрутизация безопасности.

За три дня до хакерской атаки администратор контракта Socket выполнил команду addRoute, чтобы добавить в систему новый маршрут. Целью добавления маршрутизации было расширение функциональности Socket Gateway, но это непреднамеренно привело к возникновению критической уязвимости.

На рисунке ниже показана запись маршрутизации, добавленная через администратора контракта.

Краткое изложение событий

  1. 1. В 15:03 16 января по пекинскому времени на кошелек злоумышленника были переведены средства, использованные для атаки.Наш временной анализ показывает, что средства поступили из 0xe620 и были связаны с 10 BNB, выведенными из Tornado Cash.
  1. 2. Эти средства были использованы для создания и исполнения двух контрактов по эксплуатации уязвимостей Socket. Первый контракт был нацелен на USDC по адресу, авторизованному SocketGateway (скриншот ниже); 127 жертв были украдены примерно на 2,5 миллиона долларов.
  1. 3. Далее второй контракт нацелен на WETH, USDT, WBTC, DAI и MATIC в адрес жертвы. В результате еще 104 потерпевших лишились следующих активов:
  • 42.47526105 ВЕТ
  • 347 005,65 долларов США
  • 2.88962154 ВБТЦ
  • 13 821,01 ДАИ
  • 165 356,99 МАТИК
  1. 4. Злоумышленник конвертировал USDC и USDT в ETH.

Источник уязвимости

Уязвимость, которой воспользовались злоумышленники, существует в функции PerformAction во вновь добавленном адресе маршрутизации RouteAddress.

Исходная функция функции PerformAction по этому адресу — помогать функциям переноса и развертывания. Однако в этой функции появляется критическая уязвимость: пользователь напрямую вызывает внешние данные через swapExtraData в .call() без проверки, а это значит, что злоумышленник может выполнить произвольные вредоносные функции.

В этом инциденте злоумышленник создал вредоносный ввод swapExtraData, который активировал функцию TransferFrom. Вредоносный вызов использовал авторизацию пользователя к контракту SocketGateway и похитил у него средства.

Хотя контракт гарантирует, что баланс пользователя изменится правильно после вызова fromToken.call() путем проверки проверки баланса, эта функция не учитывает ситуацию, когда злоумышленник устанавливает сумму, равную 0.

Восстановление процесса атаки

  1. 1. Используя контракт атаки, злоумышленник вызвал 0x00000196() в контракте Socket Gateway.
  1. 2. Fallback() использует шестнадцатеричную сигнатуру 196 для вызова контракта уязвимого адреса маршрутизации (routerAddress).
  1. 3. На скриншоте ниже мы видим фальшивый ввод, использованный злоумышленником, а номер подкачки равен 0.
  1. 4. Далее будет вызван WrappedTokenSwapperImpl.performAction() для выполнения обмена.
  1. 5. Поддельные SwapExtraData принимаются и выполняются fromToken (WETH) без какой-либо проверки.
  1. 5. Поддельные SwapExtraData принимаются и выполняются fromToken (WETH) без какой-либо проверки.
  1. 6. Злоумышленник повторяет описанный выше процесс до тех пор, пока активы жертвы не будут исчерпаны. После появления вредоносной транзакции Socket быстро вызвал DisableRoute, заблокировав ранее уязвимый маршрут и предотвратив более широкий спектр атак.
  2. 7. 23 января Socket объявила, что вернула 1032 ETH, а 25-го объявила, что полностью компенсирует все потери. Этот инцидент устранен.

сводка событий

Вредоносные атаки на данные вызовов не являются редкостью в контрактах маршрутизации с неограниченной авторизацией пользователей. Предыдущие подобные атаки включают Dexible и Hector Bridge. 17 февраля 2023 года децентрализованная биржа Dexible подверглась атаке, в результате чего убытки составили более $1,5 млн. Эксплойтер вводит вредоносные данные вызова в функцию fill() Dexible, чтобы украсть пользовательские ресурсы. 2 июня 2023 года был атакован сетевой протокол Hector. Злоумышленник использовал поддельный контракт USDC и перевел 652 000 реальных долларов США из контракта жертвы через вредоносные данные вызова.

Платформы агрегации блокчейна обычно повышают ликвидность и сокращают потери за счет инкапсуляции серии мостовых и маршрутизирующих контрактов. Однако эта сложная инкапсуляция создает больше проблем с безопасностью. Мы рады видеть, что инцидент с Socket может быть решен.CertiK продолжит обеспечивать комплексный аудит и обнаружение для платформы, снижая различные риски агрегации, а также повышая доверие сообщества и уровень безопасности всей отрасли.

хакерская атака Разъем
Комментарий

Все комментарии

Рекомендуем к прочтению

  • Индия не планирует регулировать продажу и покупку криптовалют

    Правительство Индии еще не раскрыло свои ближайшие планы по регулированию продажи и покупки криптовалют, продолжая при этом ужесточать правила отмывания денег, связанных с криптовалютами, и финансирования терроризма. Во время парламентской сессии 5 августа государственный министр финансов Индии Панкадж Чаудхари ответил на несколько вопросов, подробно описывающих текущую позицию страны в отношении регулирования криптовалют. Чаудхари сказал, что Индия не проводила никаких исследований или опросов, чтобы понять уровень принятия криптовалют среди своих граждан. Он ответил: «Криптовалютные активы или виртуальные цифровые активы (VDA) не регулируются в Индии, и правительство не собирает данные об этих активах. Хотя Индия официально ввела режим передачи криптовалюты и налогообложения прибыли 1 апреля 2022 года, но Правительство не планирует регулировать покупку и продажу криптовалют. Согласно законам Индии о криптовалютах, граждане обязаны платить 30% налога на нереализованную прибыль от криптовалюты и платить 1% налога, удерживаемого у источника (TDS).

  • Виталик: Нижняя точка полезности криптовалюты пройдена

    Виталик Бутерин написал в Твиттере, что нижняя точка полезности криптовалюты пройдена. С технологической точки зрения самым большим достижением за последние пять лет стало, прежде всего, предстоящее решение проблем масштабируемости блокчейна. Виталик особо упомянул рынок прогнозов Polymarket, заявив, что после интервью этой весной он очень доволен своим присутствием на Ethereum.

  • ФБР: остерегайтесь мошенников, выдающих себя за сотрудников криптовалютной биржи с целью незаконной кражи средств

    1 августа ФБР выпустило предупреждение о том, что мошенники выдают себя за сотрудников криптовалютных бирж и крадут средства с помощью нежелательных сообщений или телефонных звонков. Эти мошенники создают чрезвычайные ситуации и заявляют, что существует проблема с учетной записью, чтобы обманом заставить жертв предоставить сообщения для входа. нажимайте на ссылки или делитесь идентифицирующей информацией.

  • В июле предложение стабильной валюты выросло до 144,3 млрд долларов США, а доля рынка USDT достигла 78,9%.

    По данным TheBlockPro, скорректированный объем транзакций стейблкоинов в сети увеличился в июле на 18,8%, достигнув 997,4 млрд долларов США, а предложение стейблкоинов увеличилось на 1,2% до 144,3 млрд долларов США, из которых доля рынка принадлежала USDT и USDC. 78,9% и 17,1%. Кроме того, общий скорректированный объем внутрисетевых транзакций Биткойн и Ethereum в целом увеличился на 31,8%, достигнув 445 миллиардов долларов США. 27,7%.

  • Коммерческий банк Дубая, ОАЭ открывает специальный счет для поставщика услуг виртуальных активов

    Коммерческий банк Дубая (CBD) в Объединенных Арабских Эмиратах (ОАЭ) запустил специальный счет поставщика услуг виртуальных активов (VASP) для управления средствами клиентов и соблюдения нормативных пруденциальных требований. CBD запускает специальный счет для соответствия требованиям Центрального банка. Правила ОАЭ и Агентства по регулированию виртуальных активов Дубая (VARA). Генеральный директор Бернд ван Линдер заявил, что этот шаг соответствует основным банковским услугам Dubai Commercial Bank и поддерживает планы банка по содействию развитию цифровой экономики.

  • Протокол кредитования блокчейна Morpho завершает финансирование на сумму 50 миллионов долларов США под руководством Ribbit Capital

    Компания DeFi Morpho привлекла финансирование в размере 18 миллионов долларов, когда генеральный директор Пол Фрамбот еще учился на первом курсе колледжа. На этот раз Morpho привлекла $50 млн посредством частной продажи токенов, но не раскрыла оценку. Раунд стратегического финансирования возглавил Ribbit Capital, один из первых инвесторов в компании, занимающиеся финансовыми технологиями, включая Robinhood, Revolut и Coinbase.

  • Пекин: Поощрять использование цифрового юаня при хранении депозитов и надзоре за арендной платой

    Были изданы «Пекинские временные меры по хранению депозитов за аренду жилья и надзору за арендной платой». В Мерах указывается, что эти Меры будут применяться к хранению, надзору и управлению депозитами и арендной платой, взимаемой с арендаторов предприятиями по аренде жилья, которые сдают в аренду чужие дома и занимаются сдачей в субаренду в этом городе. Этот город поощряет использование цифровых юаней при хранении депозитов и надзоре за арендной платой.

  • Сумма активных кредитов вернулась к самому высокому уровню с начала 2022 года, что может указывать на то, что DeFi снова восстанавливается.

    Golden Finance сообщила, что платформа анализа криптовалютного рынка TokenTerminal заявила в статье от 31 июля, что «DeFi снова восстанавливается». объемы кредитов вернулись к своим максимумам с начала 2022 года и составляют около $13,3 млрд, что может означать, что кредитное плечо увеличивается, что является «ведущим индикатором бычьего рынка».

  • Обновление данных о позиции в оттенках серого в конце июля: GBTC упал примерно до 241 000 BTC, а ETHE содержал примерно 2,07 миллиона ETH.

    Оттенки серого официально обновили данные фондов Биткойн и Эфириум по состоянию на 31 июля следующим образом:

  • Продажи NFT в сети Биткойн в июле составили примерно 77,3 миллиона долларов США, что является самым низким рекордом с ноября 2023 года.

    По данным Cryptoslam, продажи NFT в цепочке Биткойн в июле составили $77 311 729,1, установив самый низкий рекорд с ноября 2023 года. Кроме того, количество NFT-транзакций в цепочке Биткойн в июле составило менее 120 000, что также является самым низким уровнем с ноября 2023 года. Среди них было примерно 35 477 независимых продавцов и примерно 49 348 независимых покупателей.

Надо читать каждый день

Cointime
Содержание
компания