开年第一案 被盜8000萬美元的Orbit Chain事件是怎么一回事？

北京時間2024年1月1日，據Beosin旗下EagleEye安全風險監控、預警與阻斷平臺監測顯示，Orbit_Chain項目遭受攻擊損失至少約為8000萬美元，經Beosin Trace分析， 黑客地址（0x27e2cc59a64d705a6c3d3d306186c2a55dcd5710）早在1天以前就發起了小規模的攻擊，並且將盜取的ETH作為了本次攻擊的其余5個地址的轉账手續費來源。

Orbit Chain是一個跨鏈橋平臺，用戶可以在一條鏈上使用不同區塊鏈的各種加密資產。 現項目方已經暫停跨鏈橋合約並與黑客進行溝通。 關於本次安全事件，Beosin安全團隊第一時間進行以下分析。

事件分析

此次事件主要是攻擊者 直接調用Orbit Chain: Bridge合約的withdraw函數將資產轉移出去。

通過進一步分析withdraw函數的代碼，我們可以發現該函數採用了驗證籤名的方式來確保放款的安全性和合法性。

在區塊鏈交易中，驗證籤名是一種常見的安全機制，用於確認交易的發起者是否具有足夠的權限和控制權。在withdraw函數中，通過驗證籤名的方式，可以確保只有經過授權的用戶或合約才能成功調用該函數並進行資產轉移。

進入籤名驗證函數（_validate）後，我們可以觀察到該函數返回了owner籤名的數量，這一信息對於驗證交易的合法性和安全性至關重要。

通過返回owner籤名數量，可以在一定程度上驗證交易的合規性和真實性。根據具體的實現方式，owner籤名數量可能會與預先設定的閾值進行比較，以確定是否滿足執行交易的條件。

隨後判斷該數量是否大於等於required，如果滿足條件，便進行放款。

可以通過鏈上數據得知， 管理該合約的owner一共有10個地址。required值為7，說明要想提取資產，需要70%的管理員籤署提取交易。

總結來說，事件發生的原因傾向於保存管理員私鑰的服務器被欺騙攻擊。

攻擊流程

根據鏈上數據顯示， 黑客早在2023-12-30 03:39:35 PM +UTC开始就陸續發起了對Orbit_Chain項目的攻擊，黑客盜取的ETH數額相對較小，並且將盜取的ETH發送給其余的數個黑客地址作為交易手續費。

其余數個黑客地址在2023-12-31 9:00 PM +UTC先後對Orbit_Chain項目的DAI、WBTC、ETH、USDC、USDT進行了攻擊。

資金追蹤

截止發稿，被盜資金轉移情況如下圖所示 ，黑客正式發起攻擊後，將被盜資金轉移到上述五個地址。在五筆獨立的交易中，每筆交易都發送到一個新的錢包，Orbit Bridge 發送了 5000 萬美元的穩定幣（3000 萬  Tether 、 1000 萬 DAI 和 1000 萬 USDC）、 231 枚 wBTC（約 1000 萬美元）和 9500 枚 ETH（約 2150 萬美元）。

Beosin Trace追蹤資金流向圖

本次跨鏈橋安全事件再次給我們安全啓示，提醒着我們在設計和實施區塊鏈系統時，安全性應該始終是首要考慮的因素。

首先，我們需要注重代碼的安全性。合約代碼是區塊鏈系統的核心組成部分， 因此在編寫和審查合約代碼時，應該遵循最佳實踐和安全標准，避免常見的安全漏洞和攻擊向量。

其次，鑑權和身份驗證是至關重要的。在區塊鏈系統中，確保只有授權的用戶或合約能夠執行關鍵操作是防止未經授權訪問和資產流失的關鍵。採用強大的身份驗證機制、多重籤名和權限管理等措施，可以有效地限制訪問權限，並確保只有經過授權的實體能夠進行敏感操作。