Убытки составили более 10 миллионов долларов, анализ уязвимости инцидента безопасности UXLINK и отслеживание украденных средств

Автор оригинала: Beosin

Перепечатка: White55, Mars Finance

23 сентября UXLINK подвергся атаке из-за утечки приватного ключа многосигнального кошелька. Злоумышленники создали токены UXLINK и продали их, получив прибыль более 11,3 миллиона долларов США. Команда безопасности Beosin провела анализ уязвимостей и отслеживание средств по данному инциденту и поделилась результатами ниже:

Обзор событий

Контракт проекта UXLINK был скомпрометирован из-за утечки приватного ключа, что привело к добавлению адреса злоумышленника в качестве мультиподписного аккаунта контракта и удалению других ранее существовавших мультиподписных аккаунтов. Порог подписания контракта был сброшен до 1, что позволило злоумышленнику выполнять операции контракта, подписывая их своим адресом. Злоумышленник полностью контролировал контракт. Затем злоумышленник начал эмитировать токены UXLINK и продавать их для получения прибыли.

Атакующий выпустил токены 5 раз, три адреса для получения токенов 0xeff9cefdedb2a34b9e9e371bda0bf8db8b7eb9a7, 0x2ef43c1d0c88c071d242b6c2d0430e1751607b87, 0x78786a967ee948aea1ccd3150f973cf07d9864f3 обменяли токены UXLINK на ETH и DAI, храня их по адресу на цепи ETH.

Отслеживание украденных средств

Вот анализ основных потоков средств в этом инциденте безопасности, проведенный командой безопасности Beosin:

АРБИТРАЖНАЯ ЦЕПОЧКА

Хакерский адрес: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Скомпрометированный адрес: 0xCe82784d2E6C838c9b390A14a79B70d644F615EB

Сумма кражи составляет примерно: 904,401 USDT

После кражи средств хакер обменял 904,401 USDT на 215.71 ETH и перевел ETH на адрес Ethereum 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c через кросс-чейн.

Эфириум цепь

Хакерский адрес: 0x6385eb73fae34bf90ed4c3d4c8afbc957ff4121c

Скомпрометированные адреса: 0x4457d81a97ab6074468da95f4c0c452924267da5, 0x8676d208484899f5448ad6e8b19792d21e5dc14f, 0x561f7ced7e85c597ad712db4d73e796a4f767654

Кража средств составила: 25.27 ETH, 5,564,402.99 USDT, 3.7 WBTC, 500,000 USDC

После кражи средств хакеры обменяли 5,564,402.99 USDT и 500,000 USDC на 6,068,370.29 DAI, а затем собрали средства на адрес 0xac77b44a5f3acc54e3844a609fffd64f182ef931. В настоящее время на этом адресе баланс: 240.99 ETH, 6,068,370.29 DAI, 3.7 WBTC.

Основные потоки средств между Ethereum и Arbitrum показаны на следующем рисунке:

Согласно анализу Beosin Trace, все украденные средства по-прежнему хранятся на нескольких адресах злоумышленника.

Beosin Trace уже добавил все адреса, связанные с атакующими, в черный список и продолжает отслеживание. Вот текущее состояние баланса адресов, связанных с атакующими: