Orbit Chain 是一個專注於跨鏈轉移的多資產區塊鏈,最近成為了複雜的利用。值得注意的是,2023 年 12 月 31 日,一系列未經授權的交易導致重大財務損失,金額約為 8,160 萬美元。
看來該漏洞是透過洩露所有者的私鑰來執行的,允許攻擊者創建虛假的提領交易的簽名。這項安全漏洞導致各種加密貨幣被非法轉移到新錢包中,包括以太坊(ETH)、Tether (USDT)、美元硬幣(USDC)、Wrapped Bitcoin (WBTC) 和演算法穩定幣DAI。
交易詳情
以太坊:最初少量提取 0.004 ETH,隨後金庫中約 9500 ETH 被耗盡。
Tether:攻擊者最初提取了9.71 USDT,後來提取了價值約3000 萬美元的USDT。
美元幣:攻擊者從少量的3.92 USDC 開始,最終耗盡了約1000 萬美元的USDC.
打包比特幣:最初消耗 0.012 WBTC,隨後大量提取約 230.879 WBTC。
技術分析
該漏洞的核心涉及濫用有效簽名進行未經授權的交易。 Orbit Chain 的智慧合約驗證機制缺乏將簽章與特定交易細節直接關聯的能力。這項疏忽使得能夠存取驗證者至少一個私鑰的攻擊者能夠通過驗證檢查並執行欺詐性交易。
利用後,Orbit Chain 團隊與攻擊者進行了溝通,表示願意進行談判。為了防止將來發生此類事件,建議區塊鏈協議增強其驗證流程,確保安全的私鑰管理,並針對未經授權的交易實施故障保護。建議使用硬體安全模組 (HSM) 來更好地管理私鑰,從而降低類似洩漏的風險。