今日 12:06分,成都鏈安態勢感知系統Beosin-Eagle eye檢測到以太
坊Upbit交易所熱錢包地址向未知地址透過一筆交易轉移超過34萬ETH。
駭客轉移342000ETH之後,該地址當時僅剩下111.3ETH,幾近掏空。
隨後,官方釋出公告對外稱:
緊接著,成都鏈安安全團隊對整個代幣轉移的交易時間線進行了完整覆盤:
北京時間11月27日13時18分," target="_blank" rel="nofollow noreferrer noopener">北京時間11月27日13時18分,Upbit波場地址TDU1uJ向TA9FnQrL開頭的地址分批次轉移TRON幣,共計轉移超過11.6億枚TRON幣,2100萬枚BTT。
北京時間11月27日13時02分,8628959枚EOS從Upbit EOS錢包地址轉至Bittrex交易所;
北京時間11月27日1點55分左右,超過1.52億枚XLM從Upbit交易所轉移至Bittrex交易所。
透過我們的進一步分析認為:EOS,XLM,TRON代幣的轉移很有可能是交易所觸發風控機制而進行的避險操作,並且有資料顯示Upbit和bittrex為合作關係,因此,大額EOS 和XLM轉入Bittrex交易所的操作可能是Bittrex協助規避風險。
隨後,北京時間下午4點56分,Upbit官方Doo-myeon執行長 Lee Sek-woo發通告表明,官方已經暫停加密貨幣充提服務,並緊急排查原因,並表明Upbit將會全額承擔損失。
至此,Upbit整個代幣轉移過程已經清晰,針對此次ETH被盜事件,成都鏈安安全團隊進行了如下分析判斷:
UpBit交易所被盜有可能是儲存熱錢包私鑰的伺服器受到攻擊導致私鑰被盜,或者是交易簽名伺服器受到攻擊,而不是控制熱錢包API轉賬的伺服器被黑。
從轉賬的交易(hash為0xa09871A******43c029)來看,該駭客或團伙是一次性轉走當時賬戶裡所有的錢,並沒有做多餘的操作,後續又有使用者充值大約4700左右的eth進UpBit交易所,現交易所已將該筆資產轉移至交易所控制的地址0x267F7*******0a8E319c72CEff5。
從目前已知的情況看,UpBit交易所可能遭到魚叉釣魚郵件、水坑等攻擊手法,獲取到交易所內部員工甚至高管的PC許可權後實施的進一步攻擊。並且有訊息報道曾有朝鮮駭客於5月28日使用網路釣魚手法透過電子郵件向Upbit交易所使用者傳送釣魚郵件進行網路攻擊。
在此成都鏈安提醒廣大專案方:
1、應做好私鑰的儲存,來源不明、目的不明的郵件儘可能不要點選;
員工個人PC安裝主流的防毒軟體,加強內部員工的安全意識培訓,建議找可靠的第三方安全公司進行內網防護加固。
對於私鑰儲存伺服器建議分派專人運維。
可以採取有效的防護措施:
重寫伺服器的命令,比如駭客常用的history、cat等命令,並開發指令碼進行持續監控,如果有執行敏感的命令推送提醒,運維人員只需要維護重寫命令後的新命令即可。
2、完善本身的資金風控系統,及時進行報警,和交易阻斷,防止大額損失。
