Étude de l'attaque contre Safemoon

Étude de l'attaque contre Safemoon

Plus de 1 500 bitcoins (plus de 100 millions de dollars américains au cours actuel), qui étaient conservés dans les caches des hackers depuis plus de 7 mois, ont commencé à bouger. Les Fonds volés associés à des piratages majeurs de ces dernières années, et précédemment attribués par l'enquête du FBI aux activités du Groupe Lazarus (communiqué de presse du FBI), ont commencé à être blanchis.

Voici une liste de ces adresses :
3LU8wRu4ZnXP4UM8Yo6kkTiGHM9BubgyiG
39idqitN9tYNmq3wYanwg3MitFB5TZCjWu
3AAUBbKJorvNhEUFhKnep9YTwmZECxE4Nk
3PjNaSeP8GzLjGeu51JR19Q2Lu8W2Te9oc
3NbdrezMzAVVfXv5MTQJn4hWqKhYCTCJoB
34VXKa5upLWVYMXmgid6bFM4BaQXHxSUoL

Notre équipe d'analystes, qui enquête sur cet incident, a déterminé qu'à ce jour, les hackers ont déjà réussi à blanchir plus de 44 BTC (plus de 3 M$ au cours actuel) via les plateformes d'échange de cryptomonnaies HTX, CoinEx et FixedFloat.

Malgré la présence de marquages de sanctions, les hackers parviennent presque librement à blanchir les fonds volés via des plateformes d'échange de cryptomonnaies qui respectent les politiques AML. Cela est largement possible parce que les hackers utilisent des schémas de blanchiment spéciaux qui leur permettent d'induire en erreur les systèmes AML des plateformes, lesquels ne suivent pas toujours les marquages et apprennent l'acceptation de fonds volés après que les hackers les ont déjà retirés des plateformes.

Match Systems exhorte les plateformes d'échange de cryptomonnaies et toute la communauté crypto à prêter attention aux adresses de hackers ci-dessus afin d'empêcher les hackers de mener à bien leurs plans.

Hacker :

Étude de l'attaque contre SafemoonÉquipe Safemoon :Étude de l'attaque contre SafemoonHacker :Étude de l'attaque contre SafemoonÉquipe Safemoon :Étude de l'attaque contre SafemoonÉquipe Safemoon :Étude de l'attaque contre Safemoon

Équipe Safemoon :

Étude de l'attaque contre Safemoon0x60dc5bb048310224b8732d732f4a32d16690e470 – utilisée par un Tiers inconnu, une personne qui connaît le hacker et l'équipe Safemoon, et disposée à jouer les médiateurs dans l'incident, a envoyé des messages au hackerÉtude de l'attaque contre Safemoon0x70b8172e628992007453aa4fe27048b59957e0ef – utilisée par un Tiers inconnu pour envoyer des messages à l'équipe Safemoon et au hackerÉtude de l'attaque contre SafemoonÉtude de l'attaque contre SafemoonÉtude de l'attaque contre Safemoon

Chronologie des événements clés

La chronologie de l'incident (UTC) telle quelle

Étude de l'attaque contre Safemoon

Notre zoo

Les points d'intérêt, conformément à ce qui précède :

Étude de l'attaque contre Safemoon

0x286e09932b8d096cba3423d12965042736b8f850 – l'adresse du retrait initial des actifs du contrat intelligent. Également utilisée par le hacker pour envoyer des messages à l'équipe du projet Safemoon (nous l'appellerons « Capybara roux »)

Étude de l'attaque contre Safemoon

0x237d58596f72c752a6565858589348d0fce622ed – l'adresse où les actifs sont actuellement conservés. (nous l'appellerons « Suricate bleu ») 000000000000000000000000000000

Étude de l'attaque contre Safemoon

0x60dc5bb048310224b8732d732f4a32d16690e470 – l'adresse depuis laquelle a été reçu le message proposant le médiateur pour les négociations (appelons-la « Pigeon jaune »)

Étude de l'attaque contre Safemoon

0x60dc5bb048310224b8732d732f4a32d16690e470 – l'adresse depuis laquelle a été reçu le message proposant le médiateur pour les négociations (appelons-la « Pigeon jaune »)

Désanonymisation des bêtes

  • La désanonymisation du Capybara roux peut être réalisée en obtenant auprès de Binance des informations sur les propriétaires des adresses de dépôt :

0x207e689ba4fdcd8e6e3a4a40d8247d7cce1462b3, 0xeec475b4bed5822eef6ccda45c52ff54da1414f7
et les initiateurs des transactions qui ont fourni le « gas »
0x34927071e8c58c99db192b88f58a3ef2b1b6cf998f21dc1a08be270e519ec57e
0xb730a8be2a0a2ec13aba48fcc33dae8a1d5e31383df270fee16d48b681e1c861
0x40e2969e2c88c642a332acaca8c706d3c415d8a253d45d36ca77c6b6a790d54f
0x1ee79a12b795d3554e98c4c84c482f2e2f3b6eb87e80649dfccee20f8e818382
0x24da81ed18e1d129dffdbb9ffa0c8c37edfd22b012f52d89030a45169f47a17e

Étude de l'attaque contre Safemoon

  • Désanonymisation du Suricate bleu via le Capybara roux

Étude de l'attaque contre Safemoon

  • La désanonymisation du Pigeon jaune peut être réalisée en obtenant auprès de Binance des informations sur le propriétaire de l'adresse de dépôt :

TLaUFJmCwU3GazcmHKVkvNKE4EgU9qmvYH

et l'initiateur de la transaction qui a fourni le « gas »
2b081cd589254db6ed7eaf5128d2a3c762ac66bea183d4ce2a65941279984fa8
Également auprès de Paxful sur d'autres initiateurs :
656995b7d2af3941f916db96cbd1d903717ca869b877b37042bef7e2503cc4c5
036ca0e667922e741d3813666bc04bb76f8b34f3c875d72ca5f8f82ba91b9c45
b6e2ff66ee8e6f28476a6d02a5cb9c439546fee306f4ee589e1ea30ba43cc1b9
3fc3ab6748937ddd9d791c036673b7cf90f55b71cb64bddebe76b0d5b4edda0c

Étude de l'attaque contre Safemoon

  • Quant à l'adresse du « Renard noir » 0x70b8172e628992007453aa4fe27048b59957e0ef, il n'est pas possible pour le moment d'établir de données supplémentaires.

Étude de l'attaque contre Safemoon

Quelques détails techniques du piratage et la réaction de la communauté

Ce bug, à son tour, a provoqué une vague d'indignation et d'accusations contre les développeurs. La communauté a rejeté l'idée que ce bug était accidentel et a accusé les développeurs d'avoir intentionnellement introduit le bug dans un contrat intelligent en fonctionnement.
Plus, et plus, et plus

Étude de l'attaque contre Safemoon

Entre autres choses, l'utilisateur de « https://dune.com/ » au pseudonyme « @factsudeny » a publié les adresses qui, selon lui, étaient liées à Safemoon et a fourni une analyse de ces adresses. L'analytique cross-chain montre que ces adresses ont des correspondances dans diverses blockchains 0x, mais tant qu'il n'est pas confirmé qu'elles appartiennent à Safemoon et que la nécessité de les étudier tout court n'est pas établie, une recherche plus poussée reste sans intérêt.

Étude de l'attaque contre Safemoon

En guise de conclusion

L'étude a révélé des liens étroits entre les attaquants et les plateformes d'échange de cryptomonnaies centralisées, ce qui, à son tour, permettra aux forces de l'ordre de demander les données pertinentes et d'identifier les personnes impliquées, s'il existe une raison impartiale de le faire
Le fait que les développeurs aient apporté au contrat intelligent des modifications permettant de telles manipulations mérite une attention supplémentaire. Étant donné que la version précédente du contrat intelligent ne présentait pas de telles vulnérabilités, et qu'après la mise à jour un piratage s'est produit dans un laps de temps relativement court, il semble raisonnable de mener un audit interne supplémentaire concernant les personnes impliquées dans ces modifications.

Post-scriptum

Cette recherche peut être incomplète et certaines informations peuvent manquer, car elle a été réalisée par notre équipe sur son propre temps à des fins d'entraînement. Au moment de la rédaction, nous n'avons aucun contrat ni NDA nous restreignant dans la collecte, l'analyse ou la diffusion de l'information, ainsi que dans une recherche approfondie de l'incident, si nécessaire.

Populaires

Envoyer une demande

Laisser une demande

Comment vous contacter ?

Indiquez votre identifiant Telegram ou votre e-mail, selon le mode de contact choisi.