被黑 6.1 億美金的 Poly Network 事件分析與疑難問答_EPE:BlockchainSpace

慢霧認為，攻擊主要在于EthCrossChainData合約的keeper被修改，而非私鑰泄漏導致。目前，黑客已開始陸續歸還資金。

撰文：慢霧安全團隊

2021年08月10日，據慢霧區消息，跨鏈互操作協議PolyNetwork遭受黑客攻擊，慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

攻擊背景

PolyNetwork是由Neo、Ontology、Switcheo基金會共同作為創始成員，分布科技作為技術提供方共同發起的跨鏈組織。

如下圖，通過官方的介紹我們可以清楚的看出PolyNetwork的架構設計：用戶可以在源鏈上發起跨鏈交易，交易確認后由源鏈Relayer將區塊頭信息同步至PolyChain，之后由PolyChain將區塊頭信息同步至目標鏈Relayer，目標鏈Relayer將驗證信息轉至目標鏈上，隨后在目標鏈進行區塊頭驗證，并執行用戶預期的交易。

以下是本次攻擊涉及的具體地址：

攻擊核心

源鏈未對發起的跨鏈操作的數據進行檢查。目標鏈未對解析出的目標調用合約以及調用參數進行檢查。EthCrossChainData合約的owner為EthCrossChainManager。bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))可以被hash碰撞。攻擊細節

PolyNetwork會在各個鏈上部署智能合約以便進行跨鏈互操作，其中EthCrossChainManager合約用于驗證PolyChain同步來的區塊頭以確認跨鏈信息的真實。EthCrossChainData合約用于存儲跨鏈數據，中繼鏈驗證人(即Keeper)的公鑰也存儲在這個合約中。LockProxy則用于資產管理。

BNB鏈上DEX Safemoon剛剛被黑客攻擊，損失890萬美元:金色財經報道，BNB鏈上DEX Safemoon官方發推特稱，今天早些時候遭到黑客攻擊，據BscScan的鏈上數據顯示，近890萬美元的資產被轉移出流動性資金池。安全公司Peckshield稱，最近的一次更新可能引入了一個 \"公共銷毀的BUG\"，為黑客攻擊提供了便利。（TheBlock）[2023/3/29 13:32:04]

本次攻擊中，攻擊者分兩步來完成這次攻擊，我們接下來進行詳細分析：

首先攻擊者通過在其他鏈調用crossChain函數構造數據發起跨鏈交易。

我們切入此函數進行分析:

EthCrossChainManager.crossChain

從上圖我們可以清晰的看出，此函數只是用于幫助用戶構造makeTxParam并存儲了構造后的哈希以便后續驗證，其并未對用戶傳入的跨鏈操作參數進行任何限制，因此攻擊者完全可以通過構造任意想構造的數據而讓Relayer毫無防備的將其同步至PolyChain，通過PolyChain將其同步至以太坊Relayer。

隨后在以太坊上的Relayer通過調用EthCrossChainManager合約中

的verifyHeaderAndExecuteTx函數提交區塊頭信息來驗證這筆跨鏈信息的真實性。

我們切入此函數進行分析：

EthCrossChainManager.verifyHeaderAndExecuteTx

因Poly Network被黑客入侵，O3 Swap跨鏈功能已暫停:O3 Swap官推宣布，O3 Swap跨鏈功能目前因Poly Network被黑客入侵而暫停。正在與團隊聯系，請耐心等待恢復完整功能。非跨鏈功能可用，可以正常使用。

此前消息，Poly Network官推宣布遭到黑客攻擊，幣安智能鏈、以太坊和Polygon上的被盜資產已轉移至到黑客的以下地址：ETH：0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963；BSC：0x0D6e286A7cfD25E0c01fEe9756765D80313B32C77；Polygon：0x5dc3603C9D42Ff184153a8a9094a73d461663214。Poly Network還呼吁受影響區塊鏈和加密交易所的礦工將來自上述地址的代幣列入黑名單。[2021/8/10 1:46:57]

通過上圖代碼我們可以看出其先對區塊頭進行反序列化，以解出所需要驗證的具體信息。隨后調用getCurEpochConPubKeyBytes函數從EthCrossChainData合約中獲取Keeper公鑰，并通過deserializeKeepers函數得到Keeper地址。

接下來將通過ECCUtils.verifySig驗證簽名是否為Keeper，從以下代碼中我們可以發現verifySig函數中會切出簽名者的vrs，并通過ecrecover接口獲取簽名者地址，然后調用containMAddresses函數循環比較簽名者是否為Keeper，只要Keeper簽名數量符合要求即可通過檢查，數量要求即為EthCrossChainManager合約傳入的n-(n-1)/3)。

動態 | 用戶將私鑰相關信息存儲在第三方APP被黑客攻擊 導致加密資產被盜:據AMBcrypto消息，4月6日，推特用戶@XRP4Fam發推稱其XRP和BTC從分類賬中被盜，并轉移至一個幣安賬戶。還用戶@了趙長鵬等人以尋求幫助。趙長鵬要求該用戶提交售后申請來解決這個問題，但是幣安的售后支持團隊無法確定向幣安存入資金的用戶。隨后趙長鵬親自處理此事，并發現該用戶的私鑰或種子字串（也稱為助記符）泄露了。@XRP4Fam聲稱已將此信息存儲在第三方筆記應用程序中，但黑客攻擊了該程序并成功盜取其信息。 與此同時，此事也在XRP社區引起了反響。XRP社區支持者Tiffany Hayden借此事件傳達了另一位XRP社區支持者XRPTrump的觀點。她表示：“XRPTrump總是聲稱，對于多數用戶來說最好是將私鑰存放在交易所，因為個人持有會有風險。此前，這是我跟他最大的分歧所在，但在發生這樣的事件之后，我想我get到他的點了。”[2019/4/8]

簽名驗證后會通過ECCUtils.merkleProve進行默克爾根驗證，只要是正常跨鏈操作即可通過此項檢查。隨后會對交易是否重復發送進行檢查并存儲已驗證后的數據。這里只需保證不重復提交即可。

最后，也是最關鍵的一步，其將通過內部調用_executeCrossChainTx函數執行構造的數據。

從上圖我們可以看出_executeCrossChainTx函數未對傳入的_toContract、_method等參數進行檢查就直接以_toContract.call的方式執行交易。

其中通過鏈上數據我們可以看出EthCrossChainData合約的owner即為EthCrossChainManager合約，而先前我們知道中繼鏈驗證人(即Keeper)的公鑰存在EthCrossChainData合約中，且此合約存在putCurEpochConPubKeyBytes函數可以直接修改Keeper公鑰。

動態 | Syscoin團隊稱未被黑客攻擊，SYS24小時跌近30%:幣安行情顯示，SYS自昨日曝出異常交易后變轉為回落，目前24小時跌幅近30%，現報0.22美元。Syscoin今日凌晨發布完整交易異常報告，Syscoin團隊在Syscoin和Binance平臺上發現了異常交易。 Syscoin非常重視安全性，因此要求所有交易所暫時停止交易SYS，直到能夠確定交易異常的原因。SYS經過調查后確定：1. Syscoin沒有被黑客入侵；2. Syscoin鏈未受到攻擊；3. 根據設計，Syscoin鏈完全可操作。[2018/7/5]

經過以上分析，結果已經很明確了，攻擊者只需在其他鏈通過crossChain正常發起跨鏈操作的交易，此交易目的是為了調用EthCrossChainData合約的putCurEpochConPubKeyBytes函數以修改Keeper角色。隨后通過正常的跨鏈流程，Keeper會解析用戶請求的目標合約以及調用參數，構造出一個新的交易提交到以太坊上。這本質上也只是一筆正常的跨鏈操作，因此可以直接通過Keeper檢查與默克爾根檢查。最后成功執行修改Keeper的操作。

但我們注意到putCurEpochConPubKeyBytes函數定義為

functionputCurEpochConPubKeyBytes(bytescalldatacurEpochPkBytes)externalreturns(bool);

而_executeCrossChainTx函數執行的定義為

abi.encodePacked(bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))

科羅拉多州政府電腦被黑客襲擊并被勒索比特幣:科羅拉多州交通運輸部員工周三被勒索軟件劫持了計算機文件，并被黑客要求支付比特幣后才能解除攻擊。對此，安全官員并未滿足黑客要求，而是關閉了2000多臺員工電腦。據悉，這個勒索軟件是SamSam的變種，此次攻擊不是由于員工打開受感染的電子郵件，而是黑客利用供應商的用戶名和密碼遠程訪問。[2018/2/22]

我們可以知道這兩個函數的函數簽名在正常情況下傳入的_method為putCurEpochConPubKeyBytes肯定是完全不同的，因此通過_toContract.call理論上是無法調用到putCurEpochConPubKeyBytes函數的。但_method是攻擊者可以控制的，其完全可以通過枚舉各個字符組合以獲得與調用putCurEpochConPubKeyBytes函數相同的函數簽名，這要求其只需枚舉前4個字節符合即可。我們也可以自己嘗試枚舉驗證，如下所示：

可以看出前四個字節與putCurEpochConPubKeyBytes函數是一致的

至此我們就已還原出攻擊者的攻擊細節。

通過解析鏈上數據，我們可以發現攻擊者將Keeper替換為了0xA87fB85A93Ca072Cd4e5F0D4f178Bc831Df8a00B。

最后攻擊者只需使用替換后的Keeper地址進行簽名即可通過所有檢查執行調用LockProxy合約將其管理的資產轉出。

攻擊流程

攻擊者在源鏈精心構造一筆修改目標鏈Keeper的操作。

利用官方Relayer正常在目標鏈提交數據并執行替換Keeper操作。

攻擊者通過替換后的Keeper地址對其轉出資產的操作進行簽名提交至EthCrossChainManager進行驗證。

驗證Keeper為攻擊者已替換完的地址通過檢查，執行將資產轉移至攻擊者指定地址。

獲利走人。

MistTrack分析過程

慢霧AML團隊分析統計，本次攻擊損失共計超6.1億美元！

具體如下：

資金流向分析

慢霧AML旗下?MistTrack反洗錢追蹤系統分析發現，攻擊者初始的資金來源是門羅幣(XMR)。

然后在交易所里換成了BNB/ETH/MATIC等幣種并分別提幣到3個地址，不久后在3條鏈上發動攻擊。

事件梳理

資金情況

BSC上：

黑客地址1，黑客將近1.2億美元的流動性添加到Curve分叉項目EllipsisFinance中，目前仍在做市無異動。Polygon上：

資金無異動。

Ethereum上：

1）黑客地址3，只有一筆轉出13.37ETH到地址0xf8b5c45c6388c9ee12546061786026aaeaa4b682的交易；

2）黑客在Curve上添加了超9706萬美元的流動性。后又撤銷流動性將9638萬枚USDC和67萬枚DAI換成9694萬枚DAI，這筆資金仍停留在地址3。目前，3343萬枚USDT已被Tether凍結。

疑難問答

注：eccm為EthCrossChainManager合約的簡稱，eccd為EthCrossChainData合約的簡稱。

問：為什么keeper能更換成功，合約代碼沒有進行鑒權嗎？

答：eccd合約有進行鑒權，僅允許owner調用putCurEpochConPubKeyBytes更改keeper，因為eccd合約的owner是eccm，所以通過eccm可以更改keeper的值。

問：為什么能簽名一筆更換keeper的交易？

答：因為跨鏈要執行的數據沒有判斷好toContract，所以可能原先的keeper以為是一筆正常的跨鏈交易就簽名了,但是他是一筆更換keeper的交易。

問：為什么能繞過代碼bytes4(keccak256(abi.encodePacked(_method,"(bytes,bytes,uint64)")))的這個限制，然后執行putCurEpochConPubKeyBytes(bytes)函數？

答：函數簽名用的是keccak-256進行哈希，然后取前面的4bytes，這種情況下是較容易被hash碰撞的。

問：黑客更換keeper的交易如何被舊的keepers簽名？

答：keepers是一個鏈中繼器(Replayer)，會對所有正常用戶的跨鏈請求進行簽名。當用戶在BSC上發起跨鏈交易時，keepers會解析用戶請求的目標合約以及調用參數，構造出一個新的交易提交到以太坊上，并在以太坊上用eccm合約調用用戶交易里包含的目標合約。黑客替換keeper的交易本質上也是一筆正常的跨鏈交易，只不過調用的目標合約是eccd合約，調用的參數是更換keeper，所以能被正常簽名。

總結

本次攻擊主要在于EthCrossChainData合約的keeper可由EthCrossChainManager合約進行修改，而EthCrossChainManager合約的verifyHeaderAndExecuteTx函數又可以通過_executeCrossChainTx函數執行用戶傳入的數據。因此攻擊者通過此函數傳入精心構造的數據修改了EthCrossChainData合約的keeper為攻擊者指定的地址，并非網傳的是由于keeper私鑰泄漏導致這一事件的發生。

慢霧AML旗下MistTrack反洗錢追蹤系統將持續監控被盜資金的轉移，拉黑攻擊者控制的所有錢包地址，提醒交易所、錢包注意加強地址監控，避免相關惡意資金流入平臺。此外，特別感謝虎符Hoo、PolyNetwork、火幣Zlabs、鏈聞、WePiggy、TokenPocket錢包、Bibox、歐科云鏈等團隊及許多個人伙伴在合規的前提下及時與慢霧安全團隊同步相關攻擊者信息，為追蹤攻擊者爭取了寶貴的時間。

目前，在多方努力下，黑客開始陸續歸還資金。

來源鏈接：mp.weixin.qq.com

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

慢霧

慢霧

慢霧科技是一家專注區塊鏈生態安全的國家高新技術企業，通過「威脅發現到威脅防御一體化因地制宜的安全解決方案」服務了全球許多頭部或知名的項目。慢霧科技的安全解決方案包括：安全審計、威脅情報、漏洞賞金、防御部署、安全顧問等服務并配套有加密貨幣反洗錢、假充值漏洞掃描、漏洞監測、被黑檔案庫、智能合約防火墻、SafeStaking等SAAS型安全產品，已有商業客戶上千家。慢霧慢霧科技慢霧AML慢霧安全Slowmist查看更多以太坊

Tags：AINKEEEPEKEEPBlockchainSpaceKeep4rPEPELINDA價格bitkeep錢包官網下載地址7.3.0

幣安下載