20萬瑞波幣被盜!深挖Gatehub交易所瑞波幣被盜事件的進展,6月1日,XRP Forensics 發現了 201,000 瑞波幣(透過交易F6E9E1385E11649A6C2F88723A821AF209B54030886539DCEF9DDD00E6446948)被盜並立即開展了調查。事實證明,被搶劫的賬戶是由 Gatehub.com 管理的,違規賬戶(r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k)從其他幾個瑞波幣賬戶偷走了大量資金,而這幾個賬戶可能也是由Gatehub.com管理的。
同一天,XRP Forensics 與 Gatehub 取得了聯絡,提醒他們系統存在潛在的安全漏洞,同時繼續對這起盜竊事件展開獨立調查,而且還聯絡了一些加密貨幣交易所,因為駭客可能試圖透過這些交易所進行洗錢。
經過進一步調查,一些與本次盜竊事件有關的賬戶浮出水面,目前發現了 12 個主要的可疑賬戶:
rU6EsDCiHHYbTtA4uGGo8zaaiRz2sbDBST
rN5Gm1FijbTVeYFfpTRfGKfNZQY7hc9TbN
rprMix9uYyQng5vgga1Vg8HTeBMCzaeM2i
rUvPCdYJMzzGu9AFKrNeKgCTpxrpFc3RHt
rJpKe5rbjgzzGJc1wm1xqKj6j4UjBQ6s48
rGSWKo2oiJnJiPEoHvDZTK2XG7RtE62Cbh
rpBDxqWArAQTEfPeWwkUvBh2cbc885nirX
r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k
rKZ14F9KT65chQ382M33U41a4eniGMAyfG
rpfcbzdZZSWdB5EWDGcQvD5ycFhM6jdhpZ
rHvWywQiexNeCLWTa9dBjHTMAtt6tPN7Z1
rMcqiWXMJEAEMXaFFgnjeuASwAMmef8B8c
實際上, XRP Forensics 早在 UTC 時間 2019-05-30 12:25:40 就已經透過分析資料發現了第一個受害者,駭客透過交易 30FBBD47F6791A00BF0C1DCFF6CBD8AECBF9EF71141544C031B8FAF3EACB4C41 竊取了該受害者 10,000 瑞波幣。
截至 UTC 時間 2019-06-05 16:00,大約有 80-90 個受害者受到駭客攻擊,被竊總量大約為 23,200,000 瑞波幣,其中大約有 13,100,000 瑞波幣已經透過加密貨幣交易所和混合服務“洗白”了。之後,XRP Forensics 與一些受害者取得了聯絡,同時 Gatehub 也聯絡了一些涉及駭客洗錢的加密貨幣交易所。
本次攻擊的潛在場景分析
雖然 XRP Forensics 目前沒有確鑿證據指出攻擊的中心來自何處,但在調研中分析了以下幾個潛在的攻擊場景:
1.Gatehub 賬戶遭駭客攻擊
透過分析受害者的訪問日誌和瑞波幣分類賬上的交易,似乎沒有任何賬戶因為直接在 Gatehub.net 上使用客戶端登陸憑證而受到攻擊。
2.網路釣魚
透過與受害者交流,他們似乎沒有任何人成為網路釣魚手段的受害者,比如沒有人收到過電子郵件,讓他們開啟冒充 Gatehub.net 的連結。
3.重放攻擊
大多數受害者的賬戶都是在 2017 年 12 月(或更早)註冊的,最初有人認為舊賬戶更容易受到交易簽名軟體部署的弱加密影響,但似乎情況並非如此。據現實情況所知,只有少數賬戶容易受到這種攻擊,而且沒有一個人是本次攻擊事件的受害者。
4.增量 nonce
雖然重放攻擊不是本案的核心,但仍然有可能是一個執行不佳的簽名庫使用了增量 nonce,這使得暴力破解成為可能。不過,現階段還無法證實或否認這一可能。
5. RippleTrade 遷移
由於大多數受害者帳戶註冊時間都在 2017 年 12 月(或更早),並且許多帳戶都帶有 RippleTrade 使用者名稱,因此處理使用者帳戶遷移的不可靠做法可能是這些帳戶被駭客訪問的一個原因。但是,並非所有駭客攻擊的賬戶都是舊的 RippleTrade 帳戶。所以從這個角度來看,這個攻擊原因也不太可能。
6.瀏覽器客戶端駭客攻擊
雖然可以透過利用 Gatehub.net 應用程式介面(API)中的漏洞來檢索使用者資訊,但我們發現這個手段也不太可能成為攻擊的原因。因此本次被攻擊的受害者遍佈全球,任何此類攻擊都可能透過嗅探共享 WiFi 上的訪問而發生。
7.舊資料庫洩漏
由於 Gatehub.com 是託管錢包提供商,因此他們會自己儲存加密貨幣的私鑰。很有可能是因為一次未知的資料庫洩漏被駭客利用,然後透過暴力破解私鑰,直到罪犯發現可以獲得足夠的資金。
駭客已經開始套現
目前,XRP Forensics 確定了一些收到被盜瑞波幣的加密貨幣交易所,但是隻能瞭解到一些金額估計值,而非準確數字:
changelly.com: 6,000,000 XRP
changenow.io: 3,250,000 XRP
kucoin.com: 1,500,000 XRP
huobi.com: 930,000 XRP
Exmo.me: 135,000 XRP
HitBTC.com: 115,000 XRP
binance.com: 110,000 XRP
alfacashier.com: 50,000 XRP
總結
如上圖所示,黃色代表了用於兌現被盜瑞波幣的加密貨幣交易所和賬戶;藍色代表了受害者;紅色代表了九個可疑賬戶。(星球君 o-daily 注:一些受害者資金可能沒有透過可疑賬戶轉出,而是直接將資金髮送到了交易所)
由於本次受害者遍佈全球多地,因此需要透過各國的執法機關來處理,XRP Forensics 強烈建議受害者向其轄區內的相關執法機構提出投訴。
