值得注意的是,Arkham 标记显示,攻击者 0xFa...0239 疑似与 LunaFi 黑客相关,该地址从 Tornado Cash 接受资金。在今年 5 月,Polygon 生态 LunaFi 遭到攻击损失 3.5 万美元。
OKX 回应:经核实,此事件由一个不再使用的废弃的 OKX DEX 做市商合约管理权限被盗而导致,18个授权过该合约的地址资产被转移。目前受到影响合约已经停用,所有用户资产已经确认安全。所有因此受到影响的用户资损约 37 万美金,平台将在统计完成后第一时间补偿。同时平台将启动司法流程进行相关损失的追回。后续平台将进行安全自查,对所有的相关废弃合约进行重新梳理,避免此类事件再次发生。
慢雾分析:该攻击或为 Proxy Admin Owner 私钥泄漏,目前 DEX Proxy 已被移出受信列表。
用户进行兑换时会授权给 TokenApprove 合约,DEX 合约通过调用 TokenApprove 合约转移用户代币。DEX 合约存在 claimTokens 函数,允许可信的 DEX Proxy 进行调用,其功能是调用 TokenApprove 合约的 claimTokens 函数转移已授权用户的代币。可信的 DEX Proxy 由 Proxy Admin 进行管理,Proxy Admin Owner 可以通过 Proxy Admin 升级 DEX Proxy 合约。
Proxy Admin Owner 在 2023-12-12 22:23:47 通过 Proxy Admin 升级了 DEX Proxy 合约到新的实现合约,新的实现合约功能是直接调用 DEX 合约的 claimTokens 函数转移代币。随后攻击者开始调用 DEX Proxy 窃取代币。Proxy Admin Owner 在 2023-12-12 23:53:59 再次升级了合约,实现功能与先前类似,升级后继续窃取代币。截止现在获利约 43 万 U。
疑似攻击者:
0xFacf375Af906f55453537ca31fFA99053A010239
获利地址:
0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d
PeckShield 监测,因 OKX DEX 攻击损失金额应扩大至 276 万美元,除了早些时候识别出的黑客获利地址(0x1F...C42d)外,还有一个黑客地址(0x05...B8A5)盗走了一名用户 0xba...3723 含 800 WETH、47.6 万 USDC 和 14.2 万 USDT 资产。
阅读原文
