旧坑新伤 授权恶意合约被盗分析_每日快讯(专注热点分享网)

旧坑新伤 授权恶意合约被盗分析


旧坑新伤 授权恶意合约被盗分析

  2023-12-30 12:09:14     简体|繁體
http://news.qghjm.com/1028298.html


背景

近期,慢雾安全团队接触到几起由于授权引起的盗币事件,这些事件是最简单的Approve 授权导致的盗币,而关键点在于受害者是在很久之前无意中点击了 Approve 授权。好在区块链的特性 —— 雁过留痕,在大量链上数据中总能发现蛛丝马迹。

被盗案例分析

根据受害者提供的信息,被盗交易如下:

(https://bscscan.com/tx/0x59aef62a8cee79996ff2b44b723c97fbc0c6e2a0992c61dea0e65fcb2d78f608)

粗略一看,只能看出受害者地址 0x8CCb 被黑客地址 0xFf6F 盗走了 13,811 USDT。

这笔交易既不是链下 permit/permit2 签名方式,也不存在其他合约漏洞任意授权方式,更不是 create2 方式。

在我们排除了这些常见的手法后,发现这笔交易竟是最简单的 Approve 授权导致的盗币,而且是很久之前埋下的导火索。

通过分析之前的链上交易记录,发现被盗的关键点在于受害者曾在两年多前授权过一个合约地址 (0x3880285800a89AB3C4338bf455acdA3da6f8fA24),授权记录如下:

(https://bscscan.com/tx/0x018479875137e5eafcc183c5574cf9197ee14c7921b5f6796b385bb15e8bf96d)

授权交易及被盗转移交易的时间表列在下面,中间时间间隔长达 767 天:

  • 2021 年 11 月 9 日,08:13:28 - 恶意授权给恶意合约地址交易;

  • 2023 年 12 月 16 日,07:26:53 - USDT-BEP20 被非授权转移交易。

授权给恶意合约地址后,资金是如何被盗走的呢?我们来进一步看看细节。

(https://dashboard.tenderly.co/tx/bnb/0x59aef62a8cee79996ff2b44b723c97fbc0c6e2a0992c61dea0e65fcb2d78f608)

在这笔交易中,发生了以下步骤:

  • 通过调用 0xcc4187 合约地址的 0xe473d7ed 方法,检查被盗地址的余额及对授权给恶意合约的 Allowance;

  • 调用恶意合约(图中的 TransparentUpgradeableProxy)的 Proxy 合约 0xd367b5 的 0xe5ee9334 方法:

    • 验证 0xcc4187 合约地址的 Role 角色权限;

    • 恶意合约作为 msg sender 调用 USDT-BEP20 的 transferFrom 函数,从而实现将授权给恶意合约的 Token 资产转移到黑客获利地址 0xFf6F。

MistTrack 分析

据 MistTrack 分析,黑客地址 (0xFf6FC7eafF07C93b555a1CA2A9efcBbca2b8c83D) 目前已获利约 20 万美元,包括多种代币。

黑客初始资金来自 Tornado Cash 转入的 0.098 BNB,且使用过 Venus, PancakeSwap, DinosaurEggs, WombatExchange:

接着,我们对恶意合约地址 (0x3880285800a89AB3C4338bf455acdA3da6f8fA24) 进行分析:

我们发现这个恶意合约在 MistTrack 里被标记为 King,也就是说这个合约地址是原来项目 King 的合约地址,该合约地址与 Kingfund Finance 也存在交互,King 和 Kingfund Finance 应该是同一个项目:

再看下恶意合约地址的创建者地址 (0x37a7cA97b33b6a9D1d80D33bff9E38f156FF8541) 被标记为 Kingfund Finance: Deployer。

我们在搜索这个项目信息的时候,发现这居然是个 RugPull 项目。在 2022 年 1 月 19 日,Kingfund Finance 卷款带走超 300 WBNB(约 141,000 美元),关闭了其官网和官方推特。也就是说,目前还没对这个恶意合约取消授权的用户仍在被盗,慢雾安全团队建议用户及时取消对恶意合约的授权。

Dune 数据分析

(https://dune.com/misttrack/rugpull-malicious-authorization)

根据上述总结出的特征及借助 Dune 分析,我们还发现了另一个用户在 2022 年 1 月授权了上述提到的恶意合约地址 (0x3880285800a89AB3C4338bf455acdA3da6f8fA24),随后在 5 月份又授权了另一个 RugPull 恶意合约地址 (0x3a40AeC5453dB9b49ACb2993F0F82FB1553f4C23)。

该恶意合约的创建者 (0x406119D496a3b0D1F0B7DA020B5e89d6FFf4Ff08) 已将大部分获利资金转移到 Tornado Cash。

目前相关地址已被 MistTrack 拉黑。

总结

本文主要介绍了一个由于早年授权给 RugPull 项目导致后续资金持续被盗的案例,并根据相关特征扩展出 Dune 数据集。钓鱼无孔不入,一不小心就中招,慢雾安全团队建议用户经常主动查看自己的授权情况,可以使用 RevokeCash、ScamSniffer、Rabby 等工具查询,若发现有异常授权,请及时取消。



编辑:web3528btc 来源:加密钱包代币

免责声明:以上文章内容信息均搜集自互联网或用户发布,并不代表本站观点或立场,本站不对其真实合法性负责。如有信息侵犯了您的权益,请联系本站将立即删除。
分享到:

  • 上一篇
    下一篇

  • 今日要闻|实事关注

    每日快讯(专注热点分享网)
    手机查看(二维码扫一扫)

    每日快讯网,最有影响力热点信息分类网站,覆盖品牌价值、汽车资讯、视频、基金、财经、房产、金融新闻、券商、公司等多类信息分享交流,免费提供最有价值的头条信息平台。
    « 2027年 » « 01月 »
    123
    45678910
    11121314151617
    18192021222324
    25262728293031

    最新资讯

    新超人预告曝光遭轰,亨利·卡维尔归队漫威转战引发热议!
  • 2025-05-30 07:18:34

     

    汪小菲婚前聚会曝光!在自家店里发喜糖,马筱梅一看就是女主人
  • 2025-05-30 07:14:30

     

    是女儿是妈妈:程潇家母女关系测试倒数第一,黄圣依一语道破
  • 2025-05-30 07:10:26

     

    李现面临困境,邀请刘亦菲、杨紫为新剧宣传,评论区却充满恶评
  • 2025-05-30 07:06:29

     

    29岁美女嫁53岁大叔,养尊处优当全职太太,称他身体结实会疼人
  • 2025-05-30 07:02:19

     

    中国行程最远的火车,全程13000公里,其中途经8个国家,大约3周跑完
  • 2025-05-30 06:58:16

     

    高宏亮重聚《红楼梦》,老当益壮笑称“邻里大叔”
  • 2025-05-30 06:54:12

     

    [代运营托管]莓茶,磷虾油,石斛原浆,西洋参原浆,肺结节,痛风,肺病,肝囊肿,海参,软文加粉,好量
  • 2025-05-30 06:50:10

     

    [代运营托管]中医养生,血压计,护心仪,激光治疗仪,血糖贴,骨病贴,熊胆粉,注册60+,来撩
  • 2025-05-30 06:46:05

     

    [代运营托管]广点通、朋友圈,视频号、公众号、小程序、快手、头条、抖音投流服务
  • 2025-05-30 06:42:01

     

    [开户代运营]gp芬 百度(baidu)大搜软文 头条抖音 nk芬 抖音男科
  • 2025-05-30 06:37:58

     

    [开户代运营]减肥/宝妈/跨境/兼职//创业投资量
  • 2025-05-30 06:33:54

     

    [开户代运营]抖音一代 政策高返稳定
  • 2025-05-30 06:29:56

     

    [开户代运营]以下可以跑: 抖音股票抖音gp 抖音婚恋抖音相亲(加白户,小客户不接) 抖音电商培训
  • 2025-05-30 06:25:47

     

    [开户代运营]本地推综合对公157
  • 2025-05-30 06:21:44