北京時間2022年6月23日19時06分46秒、CertiK監査チームはハーモニーチェーンとイーサリアム間のクロスチェーンブリッジに対する複数の悪意のある攻撃を検出した。

攻撃ステップ

攻撃ステップ

例として、13100 ETH の最初の脆弱性トランザクションを見てみましょう。

① MultiSigWallet コントラクト 0xf845a7ee8477ad1fb446651e548901a2635a915 の所有者は、submitTransaction() 関数を呼び出して、次のペイロードを持つトランザクションを送信し、トランザクション内にトランザクション ID 21106 を生成します。

② 取引を確認するには、発信者が契約者である必要があります。

③次の攻撃では、MultiSigWallet コントラクトの所有者の MultiSigWallet (0x812d8622c6f3c45959439e7ede3c580da06f8f25) が関数confirmTransaction()を呼び出します。入力トランザクションIDは21106です。

④ トランザクションを正常に実行するには、呼び出し元が契約所有者である必要があります。

⑤executeTransaction()関数は、入力データを使用して外部呼び出しを呼び出します。これにより、EthmanagerコントラクトのunlockEth()関数がトリガーされます。

⑥unlockEth()関数の受信データは金額、受取人、受取人を指定します。

⑦攻撃者は何らかの方法で所有者の権限を制御したため、ID 21106 でトランザクションを実行することができ、攻撃者のアドレス 0x0d043128146654C7683Fbf30ac98D7B2285DeD00 に 13100 ETH が送金されました。

資産の所在

資産の所在

脆弱性トランザクション

脆弱性トランザクション

• 次のトランザクション攻撃者は、約 14,619,600 ドル相当の 13,100 ETH を盗みました (ETH の現在の価格: 1116 ドルを使用): https://etherscan.io/tx/0x27981c7289c372e601c9475e5b5466310be18ed10b59d1ac840145f6e7804c97 [13,100ETH]

• 次のトランザクション攻撃者は 41,200,000 USDC を盗みました: https://etherscan.io/tx/0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

• 攻撃者は次のトランザクションで約 12,414,832 ドル相当の 592 WBTC を盗みました: https://etherscan.io/tx/0x4b17ab45ce183acb08dc2ac745b2224407b65446f7ebb55c114d4bae34539586

• 次のトランザクション攻撃者は 9,981,000 USDT を盗みました: https://etherscan.io/tx/0x6487952d46b5265f56ec914fcff1a3d45d76f77e2407f840bdf264a5a7459100

• 次のトランザクション攻撃者は 6,070,000 DAI を盗みました: https://etherscan.io/tx/0xb51368d8c2b857c5f7de44c57ff32077881df9ecb60f0450ee1226e1a7b8a0dd

• 次のトランザクション攻撃者は 5,530,000 BUSD を盗みました: https://etherscan.io/tx/0x44256bb81181bcaf7b5662614c7ee5f6c30d14e1c8239f006f84864a9cda9f77

• 攻撃者は、次の取引で約 856,552 ドル相当の 84,620,000 AAG を盗みました: https://etherscan.io/tx/0x8ecac8544898d2b2d0941b8e39458bf4c8ccda1b668db8f18e947dfc433d6908

• 攻撃者は次の取引で約 573,100 ドル相当の 110,000 FXS を盗みました: https://etherscan.io/tx/0x4a59c3e5c48ae796fe4482681c3da00c15b816d1af9d74210cca5e6ea9ced191

• 攻撃者は、次の取引で約 518,750 ドル相当の 415,000 個の SUSHI を盗みました: https://etherscan.io/tx/0x75eeae4776e453d2b43ce130007820d70898bcd4bd6f2216643bc90847a41f9c

• 攻撃者は次のトランザクションで 990 AAVE、約 67,672 ドル相当を盗みました: https://etherscan.io/tx/0xc1c554988aab1ea3bc74f8b87fb2c256ffd9e3bcadaade60cf23ab258c53e6f1

• 攻撃者は次の取引で約 49,178 ドル相当の 43 WETH を盗みました: https://etherscan.io/tx/0x698b6a4da3defaed0b7936e0e90d7bc94df6529f5ec8f4cd47d48f7f73729915

最後に書きます

最後に書きます

CertiK でコンパイル2022 年第 1 四半期の Web3.0 セキュリティ ステータス レポート「2022 年の第 1 四半期に、Web3.0 の超高価格攻撃による損失の主な原因は集中化のリスクであり、その中でもクロスチェーン ブリッジが最も脆弱であることが判明しました。

今回の攻撃では監査を通じて「集中化リスク」というリスク要因が発見された可能性がある。 CertiK セキュリティ チームは、監査に加えて、新しいコードもオンラインにする前に適時にテストする必要があることを推奨しています。