18 июля криптовалютная биржа WazirX в Индии подверглась хакерской атаке, в результате которой кошелек с множеством подписей на Ethereum был взломан и 2,349 миллиона долларов США были переведены на новый адрес, а финансирование каждой сделки было предоставлено Tornado Cash.

Впоследствии официальный WazirX ответил на взлом, сказав: «Мы заметили уязвимость нашего кошелька с множественной подписью. Наша команда активно расследует это событие. Для обеспечения безопасности активов пользователей вывод INR и криптовалюты будет временно приостановлен, в будущем будут предоставлены дополнительные обновления.»

Какие активы были украдены?

а затем, согласно данным мониторинга Lookonchain, индийская криптовалютная торговая площадка WazirX была взломана, причем похищенные активы составили около 2.3 миллиарда долларов, в основном включая:

5,43 трлн SHIB (около $102 млн);

15,298 ETH (приблизительно 52.5 миллионов долларов);

2050 миллионов монет MATIC (примерно 1124 миллиона долларов);

6402.7 млрд монет PEPE (около 7,6 млн долларов США);

579 миллионов монет USDT ;

1,35 млн монет GALA (примерно 3,5 млн долларов США) и т.д.

Источник изображения: Lookonchain

Отслеживание движения средств

Адрес检测

По данным аналитика в блокчейне余烬, украденные активы в данный момент продаются через 0x35f...5ca (WazirX Exploiter 2) и 0x90c...1fd (WazirX Exploiter 3) Адрес, затем обмениваются на ETH и передаются на 0x361...092 (WazirX Exploiter 4) Адрес.

Адрес, где хранятся украденные активы (WazirX Exploiter 1):

Продажа активов в блокчейнеАдрес (WazirX Exploiter 2/3):

Продажа активов за ETH на Адрес (WazirX Exploiter 4):

Путь перевода украденных активов, источник изображения:余烬

Отслеживание продажи активов

Или под влиянием новости о краже активов WazirX, связанных с SHIB на сумму более 1 миллиарда долларов, SHIB в течение короткого времени упал более чем на 5%, в настоящее время составляет 0.00001758 доллара.

Атакующий WazirX начал продавать SHIB, уже продано на сумму 618 тыс. долларов, осталось на сумму 9545 тыс. долларов SHIB.

Прогресс расследования

18 июля Beosin обнаружила, что индийская торговая платформа WazirX подверглась атаке, в ходе которой злоумышленники получили подписанную администратором кошелька Кошелек данные, изменяют логический контракт Кошелек, чтобы выполнить некорректную логику и похитить активы.

Атакующий адрес: 0x6eedf92fb92dd68a270c3205e96dccc527728066;

Был атакован адрес: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4.

Исходя из атакующего поведения атакующего, предполагается, что причина заключается в утечке Закрытый ключ администратора лонг签Кошелек. Beosin разберет причину атаки следующим образом:

1、злоумышленник развертывает контракт атаки: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4. Функция этого контракта состоит в извлечении указанных Токен активов этого контракта.

2, Злоумышленник получает данные подписи администратора кошелька с несколькими подписями Wazirx и изменяет логический контракт кошелька на предварительно развернутый контракт атаки. Соответствующая транзакция: злоумышленник отправляет транзакцию на извлечение Токенов в кошелек с несколькими подписями Wazirx, и благодаря механизму делегирования кошелек-контракта будет использовать deleGate.iocall для вызова связанных функций контракта атаки и перевода Токенов кошелька.

BlockBeats будет тщательно следить за динамикой на цепочке, чтобы своевременно предоставлять читателям информацию о продаже украденных активов и последующих отзывах торговых платформ.