什么是「社会工程学攻击」？解构Concentric.Fi安全事件

1 月 22 日，Concentric.fi 遭到攻击，损失超过 185 万美元。Concentric 在其官方社交账号宣布，此次攻击是一次有针对性的「社会工程学攻击」。

所谓社会工程学攻击，是指攻击者通过与被攻击者的正常交流，骗取其信任，对其心理造成影响后泄漏机密或者作出某些行为，以达到攻击者的目的。

在针对 Concentric 的攻击中，其团队一名合约管理员钱包被泄露。攻击者控制该钱包后，恶意升级了 Concentric 的金库合约，导致流动性池以及 Concentric 的用户遭受损失。

事件概览

2024 年 1 月 22 日，Concentric 在其 X 账号上发布警告称，他们可能遭遇了安全事件。

CertiK 安全团队立刻展开调查。在研究其合约地址活动的过程中，我们发现了一个可疑的钱包地址，该钱包反复铸造 CONE-1 LP 并将其销毁，以此从 Concentric 的流动性池中提取资金。

下面的截图中包含一些可疑交易：

Concentric 团队随后宣布，此次事件是由于他们的一个管理员钱包的私钥泄露造成的。该钱包将其所有权转移到了 0x3F06 开头的地址，后者则将 Concentric 的流动池代码升级为可被攻击者控制的恶意合约。

借助升级后的恶意合约，攻击者能够铸造大量 LP 代币并提取相对应的 ERC-20 代币。ERC-20 代币最终被换成了 ETH，并被转移到了以下 3 个钱包中。这些钱包都与以前发生过的攻击事件有关：

① 0xFD681A9aA555391Ef772C53144db8404AEC76030

② 0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d( 在 Etherscan 上被标注为「OKX Exploiter 2」)

③ 0x17865c33e40814d691663bC292b2F77000f94c34

此外，合约 0xc62A25462A61f02EBAB35Cd39C5E9651426e760b 还能窃取用户在 Concentric 上授权的资金。被盗资金被换成 ETH，并转入了 0x5c0e 开头地址，截稿时，通过此种方式被盗的资金超过 15 万美元。而两种方式造成的损失总计超过 185 万美元。

惯犯作案

在我们识别出的相关恶意钱包地址中，可以确认此次攻击与先前多起攻击事件相关。

此次攻击之前，攻击者地址的原始资金来自 2023 年早些时候 UnoRe 攻击事件的关联钱包地址。而在完成攻击后，Concentric 的攻击者则将盗取资金转移至之前 OKX 攻击相关的钱包地址。

2023 年 12 月 13 日，一个已废弃的 OKX DEX 做市商合约被黑客控制，通过升级授权盗取资产，造成约 270 万美元损失。该事件中的攻击者被认为与 Lunafi,、Uno Re、RVLT 等多起攻击事件相关。

下图是可以将几次事件相联系的资金流分析：

攻击流程

① 首先，Concentric Deployer 地址（0xeaf6 开头）遭到入侵。攻击者利用访问权限将合约所有权转移到 0x3F06 开头地址。

② 控制合约所有权后，0x3F06 将 Cone pool 合约进行恶意升级。

在新的合约中，攻击者可以在 0x60d8 里销毁 CONE-1，并重新铸造至 0x105f。

③ 完成合约升级后，攻击者可以调用 adminMint()，从每个流动性池中提取 CONE-1，然后再调用 burn() 将 CONE-1 换成相应的底层资产。

④ 接下来，攻击者创建了第二个合约，允许用户向流动性池转移已授权资产，并从流动性池将指定资产转走。0xc62a 和 0x3F06 均由攻击者控制。

⑤ 0x105f 开头地址将盗来资产换为 715 个 ETH，分别转移至三个钱包。其中 300 个 ETH 被发送到的钱包地址被确认与之前的 OKX 攻击事件相关。

除此之外，0xc62a 开头地址还向 0x5c0E945Fc1c83D8d10E9c6366E2cBC5241532AEc 发送了 65.4 个 ETH，使损失总额略高于 780 个 ETH，约合 185 万美元。

写在最后

以往我们常常有所防备的是攻击者利用钓鱼和社会工程学策略控制个人资产，但同样的手段也同样可以控制项目的所有权。

2024 年 1 月，网络钓鱼和私钥泄露造成的损失已达 1.7 亿美元，占 1 月份总损失的近 90%。这其中，最严重的事件莫过于 Chris Larsen 的私人账户被盗，造成约 1.125 亿美元的损失。Concentric 的此次事件再次证明，若不加以防范，传统社会工程学攻击对 Web3.0 生态项目安全将带来毁灭性的影响。

此类事件也表明了 Web3.0 平台中仍存在的中心化风险，一旦被滥用就会导致严重损失。无论是在安全审计，还是 Skynet 平台的项目安全资料披露中，CertiK 均持续强调中心化风险可能带来的潜在危害，希望可以帮助项目与用户更好地了解风险、管理风险。