本文来自Medium,原作者:Thomas Silkj,XRP法医编辑
Odaily daily每日翻译| Moni
6月1日,XRP取证发现20.1万SWR被盗(通过交易f6e 9 e 1385 e 11649 a6 C2 f 88723 a 821 af 209 b 54030886539 DCE F9 DDD 00 e 646948)并立即展开调查。
原来被抢的账户是Gatehub.com管理的,非法账户(r 9 do 2 ar 8K 64 nxgld 6 oywaxqhus 57CK 8K)从瑞波货币的其他账户盗取了大量资金,这些账户也可能是Gatehub.com管理的。
同一天,XRP法医与Gatehub取得联系,提醒他们系统中的潜在安全漏洞,同时继续对这起盗窃事件进行独立调查。而且,它还联系了一些加密货币交易所,因为黑客可能试图通过这些交易所洗钱。
经过进一步调查,一些与这起盗窃案有关的账户浮出水面。目前已发现12个主要可疑账户:
ru 6 esdcihhybtta 4 uggo 8 zaairz 2 sbdbst
rn 5g m1 fijbtvyeffptrfgkfnzqy 7 HC 9 tbn
RPR mix 9 uyyqng 5 vgga 1 VG 8 htebmczaem 2 I
ruvpcdyjmzzgu 9 afkrnekgctpxrpfc 3 rht
rjpke 5 rbjgzzgjc 1 WM 1 xqkj 6j 4 ujbq 6s 48
rgswko 2 oijnjijpeohvdztk 2 G7 rte 62 cbh
rpbdxqwaraqtefpewwkuvbh 1c BC 885 nirx
r 9 do 2 ar 8k 64 nxgld 6 ojoywaxqhus 57 CK 8k
rkz 14 f 9 kt 65 chq 382m 33 u 41 a 4 enigmayfg
rpfcbzdzzswdb 5 ewdgcqvd 5 ycfhm 6 JD hpz
rhvwywqiexneclwta 9 dbjhtmatt 6 TPN 7 z 1
rmcqiwxmjeaemmxaffgnjeuaswammef 8 b 8 c
其实XRP取证早在UTC时间2019-05-30 12:25:40就通过分析数据发现了第一个受害者,黑客通过交易30 FBD 47 f 6791 a 00 BF 01 c DCF 6 CB 8 accf 9 f 7141544 c 031 b 8 fa 3 ABC 41从受害者处盗取了10000瑞士法郎。
截至2019-06-05 UTC时间16: 00,已有约80-90名受害者被黑,被盗总金额约2320万卢比,其中约1310万卢比通过加密货币兑换和混合服务被“洗白”。之后,XRP法医与一些受害者取得了联系,而Gatehub也联系了一些黑客参与洗钱的加密货币交易所。
此攻击的潜在场景分析虽然XRP法医目前没有确凿的证据表明攻击的中心来自哪里,但在调查中分析了以下潜在的攻击场景:
1.Gatehub账户被黑了。
通过分析受害者的访问日志和Ripple账本上的交易,似乎没有任何账户是通过直接使用Gatehub.net上的客户端登录凭证而受到攻击的。
2.网络钓鱼
通过与受害者的交流,他们似乎都没有成为网络钓鱼方法的受害者。例如,没有人收到过要求他们打开一个伪装成Gatehub.net的链接的电子邮件。
3.重放攻击
大部分受害者的账号都是在2017年12月(或更早)注册的。起初有人认为老账号更容易受到交易签约软件部署的弱加密,但现在看来事实并非如此。就现实情况来看,只有少数账号容易受到这种攻击,没有人是这种攻击的受害者。
4.增量随机数
虽然重放攻击不是这种情况的核心,但执行不当的签名库仍然有可能使用增量nonce,这使得暴力破解成为可能。但是,这种可能性现阶段无法证实或否认。
5.完全迁移
由于大多数受害者的帐户都是在2017年12月(或更早)注册的,其中许多帐户都带有RippleTrade用户名,因此处理用户帐户迁移的不可靠做法可能是这些帐户被黑客访问的一个原因。然而,并非所有被黑的账户都是旧的RippleTrade账户。所以从这个角度来说,这次袭击的原因也不太可能。
6、浏览器客户端黑客攻击
虽然可以通过利用Gatehub.net API中的漏洞来检索用户信息,但我们发现这种方法不太可能是攻击的原因。所以这次攻击的受害者遍布全球,任何这样的攻击都有可能通过嗅探共享WiFi上的访问而发生。
7.旧数据库泄漏
由于Gatehub.com是托管钱包提供商,他们将自行存储加密货币的私钥。很可能是因为一个未知的数据库泄露被黑客利用,然后私钥被暴力破解,直到不法分子发现可以获得足够的资金。
黑客已经开始套现了。目前,XRP法医已经确定了一些收到被盗波纹币的加密货币交易所,但只能知道一些估计的数量,而不是确切的数字:
changelly . com:600万XRP
change now . io:325万XRP
ku coin . com:150万XRP
huobi.com: 93万XRP
例:13.5万XRP
hitbtc.com: 115,000 XRP
binance.com: 11万XRP
alfacashier.com: 50,000 XRP
如上摘要所示,黄色代表用于兑换被盗波纹币的加密货币交易所和账户;蓝色代表受害者;红色代表九个可疑账户。(星球君o-日报注:部分受害者资金可能不会通过可疑账户转出,而是直接汇往交易所)
由于受害者遍布世界各地,需要各国的执法机构来处理。XRP法医强烈建议受害者向其管辖范围内的相关执法机构投诉。