THOR:THORChain连遭三击 黑客会是同一个吗？_TORC价格

据慢雾AML团队分析统计，THORChain?三次攻击真实损失如下：

2021年6月29日，THORChain遭“假充值”攻击，损失近35万美元；

2021年7月16日，THORChain二次遭“假充值”攻击，损失近800万美元；

2021年7月23日，THORChain再三遭攻击，损失近800万美元。

这不禁让人有了思考：三次攻击的时间如此相近、攻击手法如此相似，背后作案的人会是同一个吗？

慢雾AML?团队利用旗下?MistTrack反追踪系统对三次攻击进行了深入追踪分析，为大家还原整个事件的来龙去脉，对资金的流向一探究竟。

第一次攻击：“假充值”漏洞

攻击概述

本次攻击的发生是由于THORChain代码上的逻辑漏洞，即当跨链充值的ERC20代币符号为ETH时，漏洞会导致充值的代币被识别为真正的以太币ETH，进而可以成功的将假ETH兑换为其他的代币。此前慢雾安全团队也进行了分析，详见：假币的换脸戏法——技术拆解THORChain跨链系统“假充值”漏洞。

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

9352.4874282PERP1.43974743YFI2437.936SUSHI10.615ETH

Marathon Digital 6月产出979枚BTC，年初至今已产出5120枚BTC:金色财经报道，比特币矿企Marathon Digital发布未经审计的6月比特币产量与挖矿运营更新数据，2023年6月生产了979枚BTC，比上个月下降21%，比2022年6月增长599%，年初至今已生产5120枚BTC，运营算力提高16%至17.7EH/s，安装算力提高8%至21.8EH/s。与阿布扎比合资企业开始采矿作业，预计年底产量可达7EH/s。

截至2023年6月30日，现金和现金等价物为1.14亿美元，并将BTC持有量增加至12,538枚（约3.82亿美元）。[2023/7/6 22:20:21]

资金流向分析

根据官方提供的黑客地址，慢雾AML团队分析并整理出了攻击者相关的钱包地址情况如下：

经?MistTrack反追踪系统分析发现，攻击者在6月21号开始筹备，使用匿名兑换平台ChangeNOW?获得初始资金，然后在5天后(6月26号)部署攻击合约。

Marathon Digital 8月开采184个比特币:金色财经报道，比特币矿企Marathon Digital表示，它在8月份启用了大约25000台以前安装的矿机，增加了大约2.5 exahash每秒（EH/s）的计算能力，使总哈希率达到大约3.2 EH/s。

该公司在8月份生产了184个比特币，使今年迄今为止的总数达到2222个。月末比特币持有量上升到10,311个，市场价值为2.067亿美元。本月其没有出售加密货币。（coindesk）[2022/9/7 13:13:04]

在攻击成功后，多个获利地址都把攻击获得的ETH转到混币平台TornadoCash?以便躲避追踪，未混币的资金主要是留存在钱包地址(0xace...d75)和(0x06b...2fa)上。

慢雾AML团队统计攻击者获利地址上的资金发现，官方的统计遗漏了部分损失：

29777.378146USDT78.14165727ALCX11.75154045ETH0.59654637YFI

第二次攻击：取值错误导致的“假充值”漏洞

攻击概述

美众议员Madison Cawthorn因涉嫌“拉高出货”某加密货币而遭众议院调查:金色财经报道，据公开文件显示，美国众议院道德委员会宣布调查议员Madison Cawthorn 是否“不当推广了一种他可能拥有未公开经济利益的加密货币”，并与受雇于国会工作人员的个人存在不当关系。文件称，Cawthorn在宣布与 NASCAR 车手 Brandon Brown 合作前一天买入并推广了Let's Go Brandon代币，导致代币暴涨暴跌。多个监管人员表示，Cawthorn可能违反了联邦内幕交易法，因为他大肆宣传所谓的拉高和抛售加密货币计划。Public Citizen的政府事务游说者Craig Holman表示，如果Cawthorn在12月30日之前购买LGBCoin，并且不公开该加密货币相关的未决交易，这将构成内幕交易，可能被判入狱。[2022/5/24 3:37:12]

根据分析发现，攻击者在攻击合约中调用了THORChainRouter合约的deposit方法，传递的amount参数是0。然后攻击者地址发起了一笔调用攻击合约的交易，设置交易的value(msg.value)不为0，由于THORChain代码上的缺陷，在获取用户充值金额时，使用交易里的msg.value值覆盖了正确的Depositevent中的amount值，导致了“空手套白狼”的结果。

美国挖矿公司Marathon将推出合规比特币矿池:美国挖矿公司Marathon Digital Holdings宣布推出第一个完全符合美国法规的北美比特币矿池，该矿池遵守美国反指南和由外国资产控制办公室（OFAC）制定的规则。该公司将从5月1日开始将其当前算力100％转移到新池中。Marathon的新池还计划从6月1日开始接受其他美国矿工提供的算力。（Cointelegraph）[2021/3/31 19:31:48]

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

2500ETH57975.33SUSHI8.7365YFI171912.96DODO514.519ALCX1167216.739KYL13.30AAVE

资金流向分析

慢雾AML团队分析发现，攻击者相关的钱包地址情况如下：

动态 | 以太坊联合创始人Anthony Di Iorio将辞去Jaxx CEO一职:以太坊联合创始人、Jaxx钱包制造商的创始人Anthony Di Iorio将辞去Jaxx CEO一职，并专注于慈善事业。与此同时，前任产品经理Maggie Xu、Di Iorio的女友将担任该公司的新CEO。（coindesk）[2019/9/3]

MistTrack反追踪系统分析发现，攻击者地址(0x4b7...c5a)给攻击者地址(0x3a1...031)提供了初始资金，而攻击者地址(0x4b7...c5a)的初始资金来自于混币平台TornadoCash转出的10ETH。

在攻击成功后，相关地址都把攻击获得的币转到地址(0xace...70e)。

该获利地址(0xace...70e)只有一笔转出记录：通过TornadoCash转出10ETH。

慢雾AML团队统计攻击者获利地址上的资金发现，官方的统计遗漏了部分损失：

2246.6SUSHI13318.35DODO110108KYL243.929USDT259237.77HEGIC

第三次攻击：退款逻辑漏洞

攻击概述

本次攻击跟第二次攻击一样，攻击者部署了一个攻击合约，作为自己的router，在攻击合约里调用THORChainRouter合约。但不同的是，攻击者这次利用的是THORChainRouter合约中关于退款的逻辑缺陷，攻击者调用returnVaultAssets函数并发送很少的ETH，同时把攻击合约设置为asgard。然后THORChainRouter合约把ETH发送到asgard时，asgard也就是攻击合约触发一个deposit事件，攻击者随意构造asset和amount，同时构造一个不符合要求的memo，使THORChain节点程序无法处理，然后按照程序设计就会进入到退款逻辑。

(截图来自viewblock.io)

有趣的是，推特网友把这次攻击交易中的memo整理出来发现，攻击者竟喊话THORChain官方，表示其发现了多个严重漏洞，可以盗取ETH/BTC/LYC/BNB/BEP20等资产。

(图片来自https://twitter.com/defixbt/status/1418338501255335937)

根据THORChain官方发布的复盘文章，此次攻击造成的损失为：

966.62ALCX20,866,664.53XRUNE1,672,794.010USDC56,104SUSHI6.91YEARN990,137.46USDT

资金流向分析

慢雾AML团队分析发现，攻击者相关的钱包地址情况如下：

MistTrack反追踪系统分析发现，攻击者地址(0x8c1...d62)的初始资金来源是另一个攻击者地址(0xf6c...747)，而该地址(0xf6c...747)的资金来源只有一笔记录，那就是来自于TornadoCash转入的100ETH，而且时间居然是2020年12月！

在攻击成功后，攻击者将资金转到了获利地址(0x651...da1)。

总结

通过以上分析可以发现，三次攻击的初始资金均来自匿名平台(ChangeNOW、TornadoCash)，说明攻击者有一定的“反侦察”意识，而且第三次攻击的交易都是隐私交易，进一步增强了攻击者的匿名性。

从三次攻击涉及的钱包地址来看，没有出现重合的情况，无法认定是否是同一个攻击者。从资金规模上来看，从第一次攻击到第三次攻击，THORChain被盗的资金量越来越大，从14万美金到近千万美金。但三次攻击获利的大部分资金都没有被变现，而且攻击间隔时间比较短，慢雾AML团队综合各项线索，推理认为有一定的可能性是同一人所为。

截止目前，三次攻击后，攻击者资金留存地址共有余额近1300万美元。三次攻击事件后，THORChain损失资金超1600万美元！

(被盗代币价格按文章发布时价格计算)

依托慢雾BTI系统和AML系统中近两亿地址标签，慢雾MistTrack反追踪系统全面覆盖了全球主流交易所，累计服务50+客户，累计追回资产超2亿美金。(详见：慢雾AML升级上线，为资产追踪再增力量)。针对THORChain攻击事件，?慢雾AML团队将持续监控被盗资金的转移，拉黑攻击者控制的所有钱包地址，提醒交易所、钱包注意加强地址监控，避免相关恶意资金流入平台。

跨链系统的安全性不容忽视，慢雾科技建议项目方在进行跨链系统设计时应充分考虑不同公链不同代币的特性，充分进行“假充值”测试，必要时可联系专业安全公司进行安全审计。

标签：THORHORCHAORCHathorPetrachorCharix TokenTORC价格

MATIC热门资讯