Ethereum以太坊 多簽名合約Multi-sig 漏洞黑客行為分析及追踪

2017年7月20日凌晨,以太坊上發生了自DAO漏洞以來最大的黑客盜竊事件,其原因是由於Parity錢包中的一個多簽名合約(Multi-sig)的bug。這個bug導致了幾十萬以太幣(當時價值數十億人民幣)被盜。同時也有白帽子(即幫助廠商分析漏洞並不因此獲利的黑客)出來用同樣方法轉走了部分以太幣先保護起來以避免損失進一步擴大。

以其中一個多簽名合約地址為例:

https://etherscan.io/address/0xce9f93eb7f78fcb7e7d222c81f258535dc218d4b

這個合約是有bug的多簽名合約,黑客通過調用InitWallet接口將自己設為Owner,將單人每天能轉走的最大額度(DayLimit)設置為10^40 Wei(以太幣最小計量單位)。再執行合約將幣轉到自己的地址,從而將合約中的錢盜走。

交易見:

https://etherscan.io/tx/0x86be7ef935683473248bd7fb35632555079b6043bf707a76bb86c3f7e9cdde49

https://etherscan.io/tx/0x9a675c7aada32eaea55adec60149b298917967eb6afab94d00d4019a54a16640

在第二個交易中,轉走了價值3916.8個以太幣到黑客地址:

https://etherscan.io/address/0x1ff21eca1c3ba96ed53783ab9c92ffbf77862584

通過這個黑客地址的歷史交易信息,發現了其中一個合約地址:

https://etherscan.io/address/0x3fce483a0236ba36869e4e82151006045e7d3331

注意以上紅色框裡面,可以看到這個合約是由黑客地址在2016年1月創建。

說明這個地址並不是一個新地址,因此通過歷史記錄能追踪到黑客相關信息。

通過搜索,發現如下網站及相關信息:

http://etokend-docs.ambisafe.co/

 

這個上面的信息表明了這個黑客地址其實是ETokenD組織的地址。進一步可以發現:

 

這是一個叫作TAAS的組織,也是一個ICO的項目,官網為:https://taas.fund/

同時在這個頁面:https://github.com/Ambisafe/etoken-docs/wiki/Transaction-Notifications

上面可以看出這個網站:

https://www.ambisafe.co/

和這個人:Oleg Aldekein (維護者)

以下是他的一些基本信息:

https://www.facebook.com/aldekein

https://www.linkedin.com/in/aldekein/

因此基本可以確定此人和這個組織跟這個黑客地址有密切聯繫。

同時,上述黑客地址最終將以太幣和各種代幣(Token)轉到了以下地址:

https://etherscan.io/address/0xd1f27c48b948d49f3d098f499b8a1830d8a7e229

截止21日,所有的數字貨幣都還在這個地址中。如果黑客有進一步動作,我們會持續跟踪。

Leave a comment

Your email address will not be published. Required fields are marked *