Vào ngày 1 tháng 1 năm 2024, giờ Bắc Kinh, theo giám sát của nền tảng giám sát, cảnh báo sớm và ngăn chặn rủi ro bảo mật EagleEye của Beosin, dự án Orbit_Chain đã bị tổn thất do tấn công ít nhất ở Hoa Kỳ. Theo phân tích của Beosin Trace, địa chỉ hacker (0x27e2cc59a64d705a6c3d3d306186c2a55dcd5710) đã phát động một cuộc tấn công quy mô nhỏ ngay từ một ngày trước và sử dụng ETH bị đánh cắp làm nguồn phí chuyển cho 5 địa chỉ còn lại trong cuộc tấn công này.
Orbit Chain là một nền tảng cầu nối chuỗi chéo cho phép người dùng sử dụng nhiều tài sản được mã hóa khác nhau từ các chuỗi khối khác nhau trên một chuỗi. Hiện tại, nhóm dự án đã đình chỉ hợp đồng cầu nối chuỗi chéo và đang liên lạc với tin tặc. Liên quan đến sự cố bảo mật này, nhóm bảo mật Beosin đã ngay lập tức tiến hành phân tích sau.
Phân tích sự kiện
Sự cố này chủ yếu do những kẻ tấn công gây ra Gọi trực tiếp chức năng rút tiền của Orbit Chain: Hợp đồng cầu nối để chuyển tài sản.
Bằng cách phân tích sâu hơn về mã của chức năng rút tiền, chúng ta có thể thấy rằng chức năng này sử dụng phương pháp xác minh chữ ký để đảm bảo tính bảo mật và hợp pháp của cho vay.
Trong các giao dịch blockchain, xác minh chữ ký là một cơ chế bảo mật phổ biến để xác nhận xem người khởi tạo giao dịch có đủ thẩm quyền và quyền kiểm soát hay không. Trong chức năng rút tiền, bằng cách xác minh chữ ký, có thể đảm bảo rằng chỉ những người dùng hoặc hợp đồng được ủy quyền mới có thể gọi thành công chức năng và chuyển tài sản.
Sau khi nhập chức năng xác minh chữ ký (_validate), chúng ta có thể quan sát thấy hàm trả về số lượng chữ ký của chủ sở hữu. Thông tin này rất quan trọng để xác minh tính hợp pháp và bảo mật của giao dịch.
Bằng cách trả lại số chữ ký của chủ sở hữu, tính tuân thủ và tính xác thực của giao dịch có thể được xác minh ở một mức độ nhất định. Tùy thuộc vào việc triển khai, số lượng chữ ký của chủ sở hữu có thể được so sánh với ngưỡng đặt trước để xác định xem các điều kiện thực hiện giao dịch có đáp ứng hay không.
Sau đó xác định số lượng lớn hơn hay bằng yêu cầu, nếu đáp ứng đủ điều kiện thì sẽ thực hiện cho vay.
Có thể biết từ dữ liệu trên chuỗi rằng chủ sở hữu quản lý hợp đồng có tổng cộng 10 địa chỉ. Giá trị bắt buộc là 7, nghĩa là để rút tài sản, 70% quản trị viên cần ký vào giao dịch rút tiền.
Tóm lại, nguyên nhân của sự cố có xu hướng là do máy chủ lưu khóa riêng của quản trị viên bị lỗi bị lừa dối và tấn công.
Quá trình tấn công
h2> Theo dữ liệu trên chuỗi,tin tặc đã liên tiếp tiến hành các cuộc tấn công vào dự án Orbit_Chain ngay từ 30-12-2023 03:39:35 PM + UTC Attack, số lượng ETH bị hacker đánh cắp tương đối nhỏ và ETH bị đánh cắp sẽ được gửi đến một số địa chỉ hacker khác dưới dạng phí giao dịch. Một số địa chỉ hacker khác đã liên tiếp tấn công DAI, WBTC, ETH, USDC và USDT của dự án Orbit_Chain vào lúc 31-12-2023 9:00 CH +UTC. Theo dõi quỹ Tính đến thời điểm viết bài, bị đánh cắp Tình hình chuyển tiền được thể hiện trong hình bên dưới, sau khi hacker chính thức phát động cuộc tấn công, số tiền bị đánh cắp đã được chuyển đến năm địa chỉ trên. Trong năm giao dịch riêng biệt, mỗi giao dịch được gửi đến một ví mới, Orbit Bridge đã gửi 50 triệu đô la stablecoin (30 triệu Tether, 10 triệu DAI và 10 triệu USDC), 231 wBTC (khoảng 10 triệu đô la Mỹ) và 9500 ETH (khoảng 21,5 triệu đô la Mỹ). Đô la Mỹ). Biểu đồ dòng quỹ theo dõi Beosin Trace Sự cố bảo mật cầu chuỗi chéo này Nó một lần nữa mang đến cho chúng ta nguồn cảm hứng về bảo mật và nhắc nhở chúng ta rằng bảo mật phải luôn là ưu tiên hàng đầu khi thiết kế và triển khai các hệ thống blockchain. Trước hết chúng ta cần chú ý đến tính bảo mật của code. Mã hợp đồng là thành phần cốt lõi của hệ thống blockchain,vì vậy khi viết và xem xét mã hợp đồng, cần tuân thủ các phương pháp thực hành tốt nhất và tiêu chuẩn bảo mật để tránh các lỗ hổng bảo mật phổ biến và các vectơ tấn công. Thứ hai, việc xác thực và xác minh danh tính là rất quan trọng. Trong hệ thống blockchain, việc đảm bảo rằng chỉ những người dùng hoặc hợp đồng được ủy quyền mới có thể thực hiện các hoạt động quan trọng là chìa khóa để ngăn chặn truy cập trái phép và mất mát tài sản. Việc áp dụng các biện pháp như cơ chế xác thực mạnh, đa chữ ký và quản lý quyền có thể hạn chế quyền truy cập một cách hiệu quả và đảm bảo rằng chỉ những thực thể được ủy quyền mới có thể thực hiện các hoạt động nhạy cảm. 
SpaceCoin XYZ đã phóng vệ tinh đầu tiên, khởi đầu cho một kế hoạch đầy tham vọng nhằm xây dựng mạng lưới cơ sở hạ tầng phi tập trung ngoài Trái Đất với tối đa mười vệ tinh vào năm 2025.
KikyoVào năm 2025, Ethereum sẽ được hưởng lợi từ một số xu hướng chính. Một trong những xu hướng lớn nhất: thị trường trị giá 100 nghìn tỷ USD cho tài sản trong thế giới thực.
JinseFinanceLấy sự trỗi dậy nhanh chóng gần đây của Ethena và HyperLiquid, hai “con ngựa đen” làm ví dụ. Bí quyết thành công của họ là gì? Nó có thể mang lại cảm hứng sâu sắc gì cho các dự án trong tương lai?
JinseFinanceBáo cáo phát triển chuỗi công khai tháng 2 năm 2024: Khám phá sự gia tăng đột biến của tiền điện tử, sự nổi lên của DeFi, tiến trình của Lớp 2, v.v.
JinseFinanceVụ hack gần đây của Orbit Chain đã gây thiệt hại 80 triệu USD do khóa riêng bị xâm phạm. Sự cố này nhấn mạnh vấn đề rộng hơn về các lỗ hổng khóa riêng tư trong không gian blockchain. Bài viết tìm hiểu chi tiết về số tiền bị đánh cắp, nỗ lực phong tỏa tài sản và bối cảnh lịch sử của các vi phạm an ninh liên quan đến các dự án của Ozys.
BerniceViệc khai thác Orbit Bridge đưa ra một thách thức đáng kể đối với Klaytn, thúc đẩy hành động ngay lập tức và nêu bật sự cần thiết phải tăng cường các biện pháp bảo mật trong hệ sinh thái blockchain.
KikyoSự hợp tác này không chỉ đánh dấu lần đầu tiên một cơ quan chính phủ công nhận Ordinals là một tiện ích mà còn đóng vai trò then chốt trong việc quảng bá và thương mại hóa nghệ thuật Bali cũng như các tác phẩm nghệ thuật do các nghệ sĩ địa phương tạo ra.
SamanthaSự hợp tác này sẽ liên quan đến việc tải các tác phẩm của các nghệ sĩ người Bali địa phương lên Ordzaar, nơi chúng sẽ được chuyển đổi thành Bitcoin Ordinals.
SamanthaDogecoin đang ghi nhận mức tăng trên biểu đồ hàng ngày và hàng tuần, tăng 10,96% trong 24 giờ qua và 11,55% so với bảy ngày trước, theo dữ liệu được Finbold truy xuất vào ngày 26 tháng 10.
FinboldEthereum Classic là một chuỗi PoW tương đối nhỏ hơn so với Ethereum về mức độ sử dụng và tỷ lệ băm.
Cointelegraph