Pozadí incidentu
Nedávno utrpěla platforma UwU Lend dva rozsáhlé hackerské útoky. K prvnímu útoku došlo v pondělí a způsobil škodu odhadovanou na 19,3 milionu dolarů. O několik dní později ve čtvrtek byla platforma znovu napadena, což vedlo ke ztrátě přibližně 3,7 milionu dolarů (přibližně 25,9 milionu juanů). Experti mají podezření, že oba incidenty mohl spáchat stejný útočník.
Hackeři využili kontrolní mezery v cenovém orákulu k manipulaci s cenou sUSDe prostřednictvím operací flashových půjček, opakovaným sázením a likvidací a nakonec ukradli velké množství finančních prostředků. Jako strážce bezpečnosti blockchainu provedl BitJungle podrobnou analýzu tohoto incidentu prostřednictvím systému sledovatelnosti Zhongkui a odhalil hackerské techniky a kapitálové toky za tím.
Byly odhaleny techniky hackerského útoku
Hacker úspěšně provedl útok pomocí následujících kroků:
Provoz bleskové půjčky
Flash půjčky jsou speciální formou půjček, které uživatelům umožňují půjčit si velké množství peněz v jedné transakci, pokud jsou splaceny ve stejné transakci. Hackeři nejprve použili flash půjčky k půjčení velkého množství finančních prostředků z platformy UwU Lend. Tato operace nevyžaduje zajištění, ale musí být splacena ve stejné transakci, což znamená, že půjčka a splacení musí být dokončeno během krátké doby.
Řízení ceny Oracle
Cenová orákula jsou nástroje používané v blockchainových systémech k poskytování externích dat (jako jsou informace o ceně). Hackeři objevili a zneužili zranitelnosti v orákulu platformy UwU Lend, což způsobilo abnormální výkyvy ceny sUSDe. Manipulací s orákulem hackeři uměle zvyšují nebo snižují cenu sUSDe, čímž ovlivňují hodnotu aktiv na platformě.
Zisk ze stakingu a likvidace
Staking označuje uživatele, kteří umístí krypto aktiva jako kolaterál, aby získali půjčky nebo jiné výhody. Likvidace je, když hodnota kolaterálu klesne pod určitou hranici, což nutí platformu prodat kolaterál na splacení úvěru. Hackeři opakovaně prováděli stakingové a likvidační operace v období abnormálních cenových výkyvů. Konkrétní kroky jsou následující:
Když byla cena uměle zmanipulována na abnormálně vysokou úroveň, hackeři se zavázali sUSDe získat další půjčky.
Následně byla zranitelnost věštce použita ke snížení ceny, což způsobilo, že zastavená aktiva byla platformou zlikvidována.
Během procesu likvidace hackeři odkoupili aktiva za nízké ceny a dosáhli obrovských zisků prostřednictvím řady složitých operací.
Systém sledovatelnosti Zhong Kui odhaluje tok finančních prostředků hackerů
Systém sledování Zhongkui společnosti BitJungle ukazuje tok kapitálu hackera a přesně sleduje odcizená aktiva.
Adresa hackera 0x841ddf093f5188989fa1524e7b893de64b421f47
Počáteční zdroj fondu: Tornado.cash 1ETH (Adresa: 0x47...2936), převedený fond je 3,44 000 $. Tornado.cash je nástroj na ochranu soukromí, který se často používá k zamlžení zdroje finančních prostředků a ztížení jeho dohledání.
Hlavní cesty toků finančních prostředků
Po úspěšné krádeži finančních prostředků hackeři rychle převedli finanční prostředky na ETH a převedli je na dvě hlavní adresy:
Adresa 1:0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6, zůstatek je 1282ETH, příliv kapitálu: 3,44 000 $ (1 transakce). Tato adresa slouží jako dočasné úložiště finančních prostředků.
Adresa 2: 0x050c7e9c62bf991841827f37745ddadb563feb70, zůstatek je 4010ETH, příliv kapitálu: 13,96 milionů $ (5 transakcí). Na tuto adresu bylo převedeno velké množství peněz a dočasně tam zůstaly.
BitJungle bude takovým bezpečnostním incidentům věnovat velkou pozornost V případě potřeby kontaktujte BitJungle, oficiální Twitter @bitjungle_team nebo kontaktujte oficiální e-mail bitjungle@163.com.
Analýza a závěr
Prostřednictvím hloubkové analýzy systému sledovatelnosti Zhongkui můžeme lépe porozumět těmto komplexním metodám útoků a poskytnout cenné reference pro budoucí preventivní opatření. Zde připomínáme všem investorům do kryptoměn a účastníkům projektu, aby posílili bezpečnostní audity chytrých kontraktů a mechanismů orákula, aby se zabránilo podobným útokům. Systém sledovatelnosti Zhongkui vám bude i nadále poskytovat nejnovější a nejkomplexnější analýzu zabezpečení blockchainu.
Doufáme, že společnost UwU Lend může spolupracovat s Bit Jungle a využívat naši profesionální technologii a systém sledovatelnosti, aby pomohla získat odcizená aktiva a snížit ztráty.
O BIT JUNGLE
BitJungle je blockchainová bezpečnostní společnost, která se věnuje bezpečnostním produktům a službám, jako je ochrana digitálních aktiv, vyšetřování bezpečnostních incidentů a obnova odcizených digitálních aktiv, její služby zahrnují sledovatelnost digitálních aktiv (systém Zhongkui), vyšetřování bezpečnostních incidentů, inteligentní audit smluv, zabezpečení; hodnocení, kontrola rizika praní špinavých peněz atd.
BitJungle má bohaté zkušenosti s bezpečnostním výzkumem a pokročilými nástroji pro analýzu dat a dolování dat. Spolupracovala s policií při odhalování mnoha velkých případů krádeží zabezpečení v blockchainovém průmyslu, včetně jediného případu, který se týkal více než stovek milionů dolarů. Díky profesionálním zkušenostem na vysoké úrovni byl BitJungle široce uznáván a podporován policií na mnoha místech a spoluprací v odvětví blockchainu.
Obsluhovaní zákazníci se nacházejí především v Číně, Hong Kongu, Kanadě, Spojených státech, Singapuru, Japonsku a dalších zemích a regionech. Společnost má v současnosti pobočky v Hong Kongu, Shenzhenu, Šanghaji a Qingdao.
Naskenujte QR kód níže, sledujte nás a získejte další informace o blockchainu. Pokud potřebujete prošetřit bezpečnostní incident, obnovit krádež digitálního majetku nebo bezpečnostní audit, můžete nás kontaktovat pomocí následujících metod:
Oficiální e-mail contact@bitjungle.io
Oficiální Twitter @bitjungle_team
Oficiální web https://www.bitjungle.cn/
Vyšetřování bezpečnostního incidentu
Obnovte pravdivost incidentu|Najděte podezřelého|Obnovte ukradená digitální aktiva
90% míra odhalení kriminality (závazek spáchaný v rámci týmu) 65% míra odhalení kriminality (provize spáchané týmovými hackery)
Získaná částka 150 milionů $ + digitální aktiva
Č. 1 v oboru s podílem na trhu přes 60 % v hlavních případech
Vyřešte několik nadnárodních případů
Pomohl policii při zatčení více než 30 podezřelých
Systém sledovatelnosti Zhongkui
Miliony adresních štítků|Vizualizace grafů|Sledování digitálních aktiv v reálném čase
Podporuje všechny on-chain tokeny založené na ETH TRX BSC atd.
Sledujte blockchainové transakce v reálném čase
Miliony adresních štítků
Mapa propojení aktiv
Pomozte policii zmrazit digitální aktiva