OKX DEX Proxy 管理員私鑰泄露事件分析及安全建議

一、攻擊事件分析

2023年12月12日，OKX DEX Proxy 管理員私鑰疑似泄露，攻擊者已獲利約270萬美元。SharkTeam對此事件第一時間進行了技術分析，並總結了安全防範手段，希望後續項目可以引以為戒，共築區塊鏈行業的安全防线。

二、攻擊原理分析

1.在執行合約ProxyMain時，首先限制該合約的調用者必須是攻擊者地址（0xFacf375A），然後執行Dex Aggregator合約的claimTokens函數；

2.在Dex Aggregator合約的claimTokens函數中，由於該合約尚未在 Etherscan 上开源，我們通過反編譯獲得了其源代碼。從代碼片段中可以看出，claimTokens函數會驗證代理是否可信。一旦驗證通過，它將調用OKX DEX: TokenApprove函數；

3.在OKX DEX: TokenApprove函數中，正常檢測調用者是否是可信Proxy。與先前的可信Proxy驗證相同，只要是可信Proxy並且用戶已經授權TokenApprove，攻擊者就能夠竊取被授權用戶的資金。

三、鏈上資產追蹤

攻擊和資產轉移主要聚焦在如下3個地址：

攻擊地址：0xFacf375Af906f55453537ca31fFA99053A010239 （OKX Exploiter）；

收款地址：0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d （OKX Exploiter2）；

收款地址：0x0519eFACB73A1f10b8198871E58D68864e78B8A5 （OKX Exploiter3）。

在這次攻擊中，攻擊地址只負責不斷調用TokenApprove合約的claimTokens函數來發起轉账，通過兩個收款地址完成收款。

四、安全建議

此次攻擊事件的根本原因是Proxy Admin Owner（0xc82Ea2af）的私鑰泄露，導致升級了攻擊者部署的惡意Proxy。由於升級了新的惡意執行合約，該合約被列為可信任的Proxy。TokenApprove檢測到惡意執行合約是可信的，因此攻擊者可以竊取用戶過多授權給TokenApprove的資金。所以，請務必保管好重要账戶地址的私鑰。

以上是對OKX DEX Proxy管理員私鑰泄露事件的詳細分析及安全建議。希望通過對此事件的總結，能夠引起廣大數字貨幣從業者的重視，加強安全防護措施，共同構建安全可靠的區塊鏈行業。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。