Новости ChainCatcher, согласно мониторингу и предупреждению Beosin Alert, было обнаружено, что индийская биржа wazirx подверглась атаке. Злоумышленник получил данные подписи администратора кошелька с мультиподписью, изменил логический контракт кошелька и заставил кошелек отключиться. использовать неправильную логику для кражи активов.

Адрес злоумышленника: 0x6eedf92fb92dd68a270c3205e96dccc527728066.
Атакуемый адрес: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4.

На основании поведения злоумышленника предполагается, что причиной атаки является утечка закрытого ключа администратора кошелька с мультиподписью. Beosin кратко анализирует причину атаки следующим образом:

1. Злоумышленник разворачивает контракт атаки: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4. Функция этого контракта заключается в выводе активов токенов, указанных в этом контракте.
2. Злоумышленник получил данные подписи администратора кошелька с мультиподписью wazirx и изменил логический контракт кошелька на развернутый контракт атаки. Соответствующие транзакции:
https://etherscan.io/tx/0x48164d3adbab78c2cb9876f6e17f88e321097fcd14cadd57556866e4ef3e185d
3. Злоумышленник отправляет транзакцию вывода токенов в кошелек с мультиподписью wazirx. Благодаря механизму режима прокси контракт кошелька будет использовать вызов делегата для вызова соответствующих функций контракта атаки и передачи токенов кошелька.

Упрощенная схема украденных средств В настоящее время хакеры перевели часть средств на биржи Changenow и Binance.