18 липня індійська криптовалютна біржа WazirX стала жертвою хакерського нападу, підписи Гаманця з Ethereum мережі ETH були вкрадені. Загалом 2.349 мільярди доларів США були переведені на нову Адресу, кожний виклик транзакції був забезпечений коштами Tornado Cash.

Пізніше офіційний представник WazirX відповів на подію з викрадення, заявивши: “Ми виявили вразливість в нашому гаманці з багатьма підписами. Наша команда активно розслідує цю подію. Для забезпечення безпеки активів користувачів, виведення INR і криптовалюти тимчасово призупинені, ми надамо подальше оновлення у майбутньому.”

Які активи були вкрадені?

Потім, за даними Lookonchain, індійська криптовалютна платформа WazirX втратила близько 230 мільйонів доларів, головним чином пов’язані з:

5.43 трильйони SHIB (приблизно 1.02 мільярда доларів);

15,298 ETH (приблизно 52,500,000 доларів США);

2050 тисяч MATIC (приблизно 1124 тисячі доларів);

6402.7 млн монет PEPE (приблизно 760 тис. доларів США);

579 тисяч USDT ；

1,35 млн монет GALA (приблизно 3,5 млн доларів США) тощо.

Джерело зображень: Lookonchain

Відстеження потоку коштів

Перевірка Адреси

За даними аналітика блокчейна Ю Цзінь, вкрадені активи продавалися через адреси 0x35f…5ca (WazirX Exploiter 2) та 0x90c…1fd (WazirX Exploiter 3) і обмінювалися на ETH, після чого отримані ETH перекладалися на адресу 0x361…092 (WazirX Exploiter 4).

Адреса украдених активів (WazirX Exploiter 1):

у блокчейні продаж активів Адреса (WazirX Exploiter 2/3):

Продаж активів на отримання ETH для зберігання Адреса (WazirX Exploiter 4):

Шлях перенесення вкрадених активів, джерело зображення: залишки

Відстеження продажу активів

Можливо, під впливом повідомлення про крадіжку активів WazirX на суму понад 1 мільярда доларів США SHIB, SHIB короткочасно впав більше ніж на 5%, наразі становить 0.00001758 долара США.

Атакувальник WazirX вже почав продавати SHIB, наразі він продав за 618 тисяч доларів SHIB, залишилося SHIB на суму 95,45 мільйона доларів.

Прогрес дослідження

18 липня за даними Beosin, виявлено попередження, що індійська торговельна платформа WazirX була атакована, зловмисники отримали підписи Гаманець адміністраторів торговельної платформи, змінили логічний контракт Гаманець, щоб виконувати неправильну логіку та викрасти активи.

Атакуючий адрес: 0x6eedf92fb92dd68a270c3205e96dccc527728066;

Бути атакованим адреса: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4.

На основі атаки зловмисника припускається, що причиною є витік закритого ключа адміністратора гаманця з кількома підписами лонг. Beosin розглядає причину атаки наступним чином:

1、Зловмисник розгортає контракт атаки: 0x27fd43babfbe83a81d14665b1a6fb8030a60c9b4. Функція цього контракту полягає в видобутку вказаних в цьому контракті Токен активів.

2. Атакувальник отримує дані підпису адміністратора Гаманця з кількома підписами wazirx longsign, змінює логічний контракт Гаманця на атакований контракт, який вже розгорнуто. Відповідна угода: атакувальник подає запит на вилучення Токену з Гаманця wazirx longsign, через механізм делегування Гаманець-контракт буде використовувати deleGate.iocall для виклику відповідних функцій атакованого контракту і переказує ГаманецьТокен.

BlockBeats буде слідкувати за динамікою на ланцюжку та своєчасно інформувати читачів про продаж вкрадених активів та подальші відгуки про торгові платформи.