环环相扣 —— Gnosis Safe Multisig 用户被黑分析

——

币安比特币新闻 发布于 2024-11-28 01:11

打印本文小中大

By：Victory@慢雾安全团队

2021 年 12 ⽉ 3 ⽇，据慢雾区情报，⼀位 Gnosis Safe ⽤户遭遇了严重且复杂的⽹络钓⻥攻击。慢雾安全团队现将简要分析结果分享如下。

相关信息

攻击者地址 1：

0x62a51ad133ca4a0f1591db5ae8c04851a9a4bf65

攻击者地址 2：

0x26a76f4fe7a21160274d060acb209f515f35429c

恶意逻辑实现合约 ETH 地址：

0x09afae029d38b76a330a1bdee84f6e03a4979359

恶意合约 ETH 地址 MultiSendCallOnly 合约：

0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea

受攻击的代理合约地址：

0xc97f82c80df57c34e84491c0eda050ba924d7429

逻辑合约地址：

0x34cfac646f301356faa8b21e94227e3583fe3f5f

MultiSendCall 合约 ETH 地址：

0x40a2accbd92bca938b02010e17a5b8929b49130d

攻击交易：

https://etherscan.io/tx/0x71c2d6d96a3fae4be39d9e571a2678d909b83ca97249140ce7027092aa77c74e

攻击步骤

第一步：攻击者先是在 9 天前部署了恶意 MultiSendCall，并且验证了合约代码让这个攻击合约看起来像之前真正的 MultiSendCall。

第二步：攻击者通过钓⻥⼿段构造了⼀个指向恶意地址 calldata 数据让⽤户进⾏签名。calldata ⾥⾯正确的 to 地址应该是 0x40a2accbd92bca938b02010e17a5b8929b49130d，现在被更改成了恶意合约 ETH 地址 MultiSendCallOnly 合约 0x3cb0652856d7eabe51f1e3cceda99c93b05d7cea。

由于攻击者获取的签名数据是正确的，所以通过了验证多签的阶段，之后就开始执⾏了攻击合约的 multiSend 函数。

这时候通过查看攻击合约我们发现此处的修饰器 Payable 有赋值的情况存在。这时候我们通过对源码的反编译发现：

当 payment.version < VERSION 这个条件触发的时候每次调⽤的时候都会对 storage[0x00] 进⾏重新赋值。这个 storage[0x00] 是不是特别眼熟？没错我们来看下 Proxy 合约。

当这笔交易执⾏完毕时 Proxy 的 storage[0x00] 已经变成0x020014b037686d9ab0e7379809afae029d38b76a330a1bdee84f6e03a4979359。

由于 Proxy 合约执⾏的逻辑合约地址 masterCopy 是从 storage[0x00] 读取的，所以 Proxy 指向的逻辑合约会被攻击者更改为攻击合约。后续攻击者只需等待⽤户把⾜够的代币放⼊此合约，之后构造转账函数把钱取⾛即可。

我们分析了受攻击的合约的交易记录后，发现该攻击者⾮常狡猾。

攻击者为了避免被发现，在攻击合约中的逻辑中还实现了保证⽤户依然能正常使⽤相关的功能。

反编译攻击者的逻辑合约发现，在攻击合约的逻辑保证了攻击者动⼿前⽤户都可以正常使⽤多签功能。只有当攻击者⾃⼰调⽤的时候才会绕过验证直接把⽤户的钱取⾛。

MistTrack 分析

经 MistTrack 反洗钱追踪系统分析发现，攻击者地址 1 在 11 ⽉ 23 号开始筹备，使⽤混币平台 Tornado.Cash 获得初始资⾦ 0.9384 ETH，在⼏分钟后部署了合约，然后将 0.8449 ETH 转到了攻击者地址 2。

攻击成功后，攻击者地址 2 通过 Uniswap、Sushiswap 将获利的 HBT、DAI 等代币兑换为 ETH，最后将 56.2 ETH 转到混币平台 Tornado Cash 以躲避追踪。

总结

本次攻击先是使⽤了钓⻥⼿段获取了⽤户的⼀次完整的多签数据，在利⽤了 delegatecall 调用外部合约的时候，如果外部合约有对数据进⾏更改的操作的话，会使⽤外部合约中变量存储所在对应的 slot 位置指向来影响当前合约同⼀个 slot 的数据。通过攻击合约把代理合约指向的逻辑指向⾃⼰的攻击合约。这样就可以随时绕过多签把合约的钱随时转⾛。

经过分析本次的事件，⼤概率是⿊客团队针对 Gnosis Safe Multi-sig 应⽤的⽤户进⾏的钓⻥攻击， 0x34cfac64 这个正常的逻辑合约是 Gnosis Safe 官⽅的地址，攻击者将这个地址硬编码在恶意合约中，所以这⼀系列的操作是适⽤于攻击所有 Gnosis Safe Multi-sig 应⽤的⽤户。此次攻击可能还有其他受害者。慢雾安全团队建议在访问 Gnosis Safe Multisig 应⽤的时候要确保是官⽅的⽹站，并且在调⽤之前要仔细检查调⽤的内容，及早的识别出钓⻥⽹站和恶意的交易数据。

上一篇链声投研周报 | 加密市场发生超33起公开融资事件，机构投资集中在NFT、元宇宙、链游赛道

下一篇GameFi的崛起之路

比特币行情

——

Cosmos 生态为何异军突起，同为跨链巨头的波卡该如何破局？

撰文：Polkadot Labs背景当我们再次谈论跨链赛道时...

链声投研周报 |加密市场发生超31起公开融资事件，LayerZero Labs完成1.35亿美元融资

据CoinVoice不完全统计，本周（3.28—4.02）公...

撰文：Pedro Herrera，DappRadar 撰稿人

编辑：南风

撰文时，Yuga Labs 的 6 个 NFT 系列已经占到了以太坊上 NFT 市值的 43%。

上图：Yuga Labs 的 6 个 NFT 项目的市值，数据截至2022年3月29日

不到一年前，也就是2021 年 4 月 28 日，Yuga Labs 推出了「无聊猿游艇俱乐部」(BAYC)，这是 NFT 历史上最具影响力的项目之一。BAYC 与CryptoPunks一起引领了 NFT 热潮，在 2021 年见证了创纪录的交易量。这两个 NFT 项目的重要性可以说超越了区块链领域，达到了一种文化现象的地位。CryptoPunks 和 Bored Apes (无聊猿) 已经通过知名拍卖行佳士得 (Christie’s) 和苏富比 (Sotheby’s) 成为主流，并成为数十位名人在社交媒体上的头像。因此，当 Yuga Labs 宣布收购 CryptoPunks 和 Meebits 的知识产权时，整个加密社区陷入一阵狂热。

收购 CryptoPunks 知识产权几天之后，Yuga Labs 通过公布其元宇宙计划后再次登上头条，包括其备受期待的代币ApeCoin以及 BAYC 生态系统元宇宙项目Otherside。Yuga Labs 经历了从最初推出 BAYC 这个当时铸造价只有0.08 ETH(约合 120 美元) 的 NFT 收藏品到发展成为一个领先的 Web3.0 品牌。Yuga Labs 目前的估值已达 40 亿美元，并建立了一个充满活力的元宇宙生态系统。本报告将从不同角度阐述 Yuga Labs 公告的影响，并阐述这些最近的行动在 Web3 和元宇宙的前景中的含义。

关键信息

Yuga Labs 成为了 Web3 领域的主导力量，其 6 个 NFT 系列的总市值约为 81 亿美元，占以太坊前 100 名 NFT 收藏品项目市值的43%。

ApeCoin代币通过其 23 亿美元的市值加强了 Yuga Labs 的品牌定位。

由 Anderseen Horowitz (a16z) 和 Animoca Brands 牵头的4.5 亿美元投资(估值 40 亿美元) 进一步推动了 Yuga Labs 的元市场计划。

Yuga Labs 的 NFTs 占据以太坊上 NFT 地板市值的 43%

CryptoPunks 和 Meebits 的底价在收购后上涨

作为 BAYC 生态的经济引擎，ApeCoin 代币的市值接近 23 亿美元

4.5 亿美元的投资提振了 BAYC 元宇宙

对 Web3 领域产生的影响

Yuga Labs 的 NFTs 占据以太坊上 NFTs 地板市值的 43%

在收购 Larva Labs 拥有的 CryptoPunks 和 Meebits 的知识产权之前，Yuga Labs 已经控制着整个加密领域最具影响力的名字之一：Bored Ape Yacht Club(BAYC)。BAYC 系列包含 10,000 个 NFT，成为了 NFT 头像运动的代名词。该项目受到 NFT 社区的广泛欢迎，并很快被著名的 NFT 收藏家所寻找，最显著的就是好莱坞、体育和音乐名人。这些名人的高度参与给这个 NFT 系列带来了一种与现实世界中的奢侈品牌相似的独特性。

除了10,000 个「无聊猿」NFT，Yuga Labs 的 BAYC 生态系统还包含其他3 个额外的 NFT 项目：

The Bored Ape Kennels (BAKC，无聊猿狗舍俱乐部)

The Mutant Ape Yacht Club (MAYC，突变猿游艇俱乐部)

The Bored Ape Chemistry Club (BACC，无聊猿化学俱乐部)

这些 NFT 系列展示了 Yuga Labs 实现的高实用性。「无聊猿」NFT 的持有者们已经免费获得了BAKC(总计 10,000 个) 和突变血清 (BACC)，比例为 1:1 (外加 Gas 费)。

编者注：BACC 总共包含 10,000 份 NFT 突变血清 (Mutant Serum) ，由 3 种不同的突变血清组成：M1 Mutant Serum、M2 Mutant Serum 和 Mega Mutant Serum。BAYC 无聊猿的持有者在空投到 BACC 突变血清之后，可以选择将 BACC 血清与 BAYC 无聊猿进行结合以铸造 MAYC 突变猿 NFT，也可以选择在 OpenSea 等平台上将 BACC NFT 进行出售。注入 M1 或 M2 血清的 Bored Ape (无聊猿) 外观会有较轻微的变化，相比之下 Mega Mutant Serum 所带来的突变外观会更为疯狂以及难以预测，因此这种血清的价格更高。此外，血清在使用后将会消失。

BAYC 生态系统是整个 NFT 领域中最强大的群体之一。根据 DappRadar 的 NFT 价值估算工具，BAYC、BAKC、MAYC 以及 BACC这 4 个 NFT 系列的市值估计为 55 亿美元，这一市值占了以太坊前 100 名 NFT 收藏品系列的底价市值的29%。如下图所示：