Предыстория инцидента
Недавно платформа UwU Lend подверглась двум масштабным хакерским атакам. Первая атака произошла в понедельник и причинила ущерб, оцениваемый в 19,3 миллиона долларов. Несколько дней спустя, в четверг, платформа подверглась повторной атаке, в результате которой был нанесен ущерб примерно в 3,7 миллиона долларов (приблизительно 25,9 миллиона юаней). Эксперты подозревают, что оба инцидента мог совершить один и тот же злоумышленник.
Хакеры воспользовались лазейками в контрольном ценовом оракуле, чтобы манипулировать ценой sUSDe посредством операций срочного кредитования, неоднократного размещения ставок и ликвидации, и в конечном итоге похитили большую сумму средств. Как страж безопасности блокчейна, BitJungle провел подробный анализ этого инцидента через систему отслеживания Zhongkui, раскрыв методы взлома и стоящие за ним потоки капитала.
Раскрыты методы хакерской атаки
Хакер успешно осуществил атаку, выполнив следующие шаги:
Операция срочного кредита
Срочные кредиты — это особая форма кредитования, которая позволяет пользователям занимать большие суммы денег за одну транзакцию только для того, чтобы вернуть ее в той же транзакции. Хакеры сначала использовали быстрые кредиты для выдачи крупных сумм средств на платформе UwU Lend. Эта операция не требует залога, но должна быть погашена в той же сделке, а это означает, что заимствование и погашение должны быть завершены в течение короткого периода времени.
Контроль цен оракулом
Ценовые оракулы — это инструменты, используемые в системах блокчейна для предоставления внешних данных (например, информации о ценах). Хакеры обнаружили и воспользовались уязвимостями в оракуле платформы UwU Lend, из-за чего цена sUSDe аномально колебалась. Манипулируя оракулом, хакеры искусственно повышают или понижают цену sUSDe, тем самым влияя на стоимость активов на платформе.
Прибыль от ставок и ликвидации
Под стейкингом подразумевается, что пользователи размещают криптоактивы в качестве залога для получения кредитов или других выгод. Ликвидация — это когда стоимость залога падает ниже определенного порога, что вынуждает платформу продать залог для погашения кредита. Хакеры неоднократно проводили операции по размещению и ликвидации в периоды аномальных колебаний цен. Конкретные шаги заключаются в следующем:
Когда цена была искусственно поднята до аномально высокого уровня, хакеры пообещали sUSDe получить больше кредитов.
Впоследствии уязвимость оракула была использована для снижения цены, в результате чего платформа ликвидировала заложенные активы.
В процессе ликвидации хакеры выкупают активы по низким ценам и получают огромную прибыль посредством ряда сложных операций.
Система отслеживания Чжун Куя раскрывает поток средств хакеров
Система отслеживания BitJungle Zhongkui показывает движение капитала хакера и точно отслеживает украденные активы.
Хакерский адрес 0x841ddf093f5188989fa1524e7b893de64b421f47
Первоначальный источник средств: Tornado.cash 1ETH (Адрес: 0x47...2936), переведенный фонд составляет 3,44 тыс. долларов США. Tornado.cash — это инструмент защиты конфиденциальности, который часто используется, чтобы скрыть источник средств и затруднить его отслеживание.
Основные пути движения средств
После успешной кражи средств хакеры быстро конвертировали их в ETH и перевели на два основных адреса:
Адрес 1:0x48d7c1dd4214b41eda3301bca434348f8d1c5eb6, баланс 1282ETH, приток капитала: $3,44 тыс. (1 транзакция). Этот адрес служит местом временного хранения средств.
Адрес 2: 0x050c7e9c62bf991841827f37745ddadb563feb70, баланс 4010ETH, приток капитала: $13,96 млн (5 транзакций). На этот адрес была переведена крупная сумма денег, которая временно оставалась там.
BitJungle будет уделять пристальное внимание таким инцидентам безопасности. При необходимости свяжитесь с BitJungle в официальном Твиттере @bitjungle_team или напишите на официальный адрес электронной почты bitjungle@163.com.
Анализ и заключение
Благодаря углубленному анализу системы отслеживания Zhongkui мы можем лучше понять эти сложные методы атак и предоставить ценные рекомендации для будущих мер предотвращения. Здесь мы напоминаем всем криптовалютным инвесторам и участникам проекта усилить аудит безопасности смарт-контрактов и механизмов оракулов, чтобы предотвратить подобные атаки. Система отслеживания Zhongkui продолжит предоставлять вам новейший и наиболее полный анализ безопасности блокчейна.
Мы надеемся, что UwU Lend сможет сотрудничать с Bit Jungle и использовать наши профессиональные технологии и систему отслеживания, чтобы помочь вернуть украденные активы и сократить потери.
О BIT JUNGLE
BitJungle — это компания, занимающаяся безопасностью блокчейнов, специализирующаяся на продуктах и услугах безопасности, таких как защита цифровых активов, расследование инцидентов безопасности и восстановление украденных цифровых активов; ее услуги включают отслеживание цифровых активов (система Zhongkui), расследование инцидентов безопасности, аудит смарт-контрактов, безопасность. оценка, контроль рисков по борьбе с отмыванием денег и т. д.
BitJungle имеет богатый опыт исследований в области безопасности и передовые инструменты анализа и интеллектуального анализа данных. Он сотрудничал с полицией в раскрытии многих крупных случаев кражи безопасности в индустрии блокчейнов, включая один случай, на сумму более сотен миллионов долларов. Благодаря своему старшему профессиональному опыту BitJungle получила широкое признание и поддержку со стороны полиции во многих местах, а также сотрудничества в индустрии блокчейнов.
Обслуживаемые клиенты в основном расположены в Китае, Гонконге, Канаде, США, Сингапуре, Японии и других странах и регионах. В настоящее время компания имеет офисы в Гонконге, Шэньчжэне, Шанхае и Циндао.
Отсканируйте QR-код ниже, чтобы подписаться на нас и получить дополнительную информацию о блокчейне. Если у вас есть какие-либо потребности в расследовании инцидентов безопасности, восстановлении кражи цифровых активов или аудите безопасности, вы можете связаться с нами следующими способами:
Официальная электронная почта contact@bitjungle.io
Официальный Твиттер @bitjungle_team
Официальный сайт https://www.bitjungle.cn/
Расследование инцидентов безопасности
Восстановите правду об инциденте|Найдите подозреваемого|Верните украденные цифровые активы
90% раскрываемость преступлений (совершение действий внутри команды) 65% раскрытие преступлений (совершение действий командными хакерами)
Возвращено 150 миллионов долларов США + сумма цифровых активов
№ 1 в отрасли с долей рынка более 60% в основных случаях
Раскройте несколько транснациональных дел
Помог полиции арестовать более 30 подозреваемых.
Система отслеживания Чжункуй
Миллионы адресных тегов|Визуализация графиков|Отслеживание цифровых активов в режиме реального времени
Поддерживает все токены в цепочке на основе ETH TRX BSC и т. д.
Мониторинг транзакций блокчейна в режиме реального времени
Миллионы адресных этикеток
Карта связей активов
Помогите полиции заморозить цифровые активы
