据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,7 月 2 日,Poly network 跨链桥项目疑似遭受私钥泄露或多签服务被攻击,黑客利用伪造的凭证向多条链的跨链桥合约进行取款操作。
这次 Poly network 的攻击事件有多个攻击地址,下面以 0x906639ab20d12a95a8bec294758955870d0bb5cc 地址为例。 1. 攻击者首先调用 LockProxy 跨链桥合约中的 lock 函数进行锁定很小的 Lever Token 。(https://etherscan.io/tx/0x1b8f8a38895ce8375308c570c7511d16a2ba972577747b0ac7ace5cc59bbb1c4)这里需要注意的是 toChainid 为 6 指的是 BNB chain,可以通过 https://explorer.poly.network/查看。这里只要 poly 网络上查到,就表示已经通过中继链验证的。 2. 切换到 BNB 链上,分析攻击者调用 verifyHeaderAndExecuteTx 函数进行取款操作,注意到这里的数量和原先的 lock 的数量完全对不上。(https://bscscan.com/tx/0x5c70178e6dc882fba1663400c9566423f8942877a0d42bb5c982c95acc348e31)然而在中继链网络查询该笔交易,并未找到该笔交易记录。 3. 现在有理由怀疑是不是签名泄露或者 keeper 被修改(因为 keeper 是给用户提款签名的,只要控制了 keeper 就可以用伪造的签名提款)。第一次的 poly 被攻击就是黑客利用攻击修改了 keeper 导致的。
通过分析黑客调用 verifyHeaderAndExecuteTx 函数进行取款操作,发现 keeper 并没有被修改,目前 keeper 还是用的官方的 keeper,现在我们有理由相信其中的三个 keeper(0x4c46e1f946362547546677bfa719598385ce56f2 、 0x51b7529137d34002c4ebd81a2244f0ee7e95b2c0 、 0x3dfccb7b8a6972cde3b695d3c0c032514b0f3825)可能私钥泄露或多签服务被攻击,导致攻击者可以利用伪造的凭证取款。
根据 Beosin KYT 虚拟资产反洗钱合规和分析平台,黑客从 2023 年 7 月 1 日开始攻击,截止到目前,仅通过 DeFi 交易所将部分虚拟货币换成 ETH,以及将 ETH 和部分其他虚拟货币转移到其他沉淀地址中,暂未对被盗资金进行销赃处理,但已准备好了交易所需手续费,在确认安全后会立刻对沉淀地址资金进行转移。目前,Beosin 安全团队正在和 Poly Network 官方一起应对本次安全事件,有最新进展将第一时间分享大家。
- 本内容只为提供市场信息,不构成投资建议。