2023年12月12日，OKX DEX Proxy 管理员私钥疑似泄露，攻击者已获利约270万美元。

一、攻击事件分析

OKX: Dex Aggregator合约：0x70cbb871e8f30fc8ce23609e9e0ea87b6b222f58

UpgradeableProxy 合约：0x55b35bf627944396f9950dd6bddadb5218110c76

Proxy Admin Owner：0xc82Ea2afE1Fd1D61C4A12f5CeB3D7000f564F5C6

Proxy Admin合约：0x3c18F8554362c3F07Dc5476C3bBeB9Fdd6F6a500

攻击发起者地址：0xFacf375Af906f55453537ca31fFA99053A010239

资金流向地址1：0x1f14e38666cdd8e8975f9acc09e24e9a28fbc42d

资金流向地址2：0x0519eFACB73A1f10b8198871E58D68864e78B8A5

恶意ProxyMain 合约1：0x5c4794d9f34fb74903cfafb3cff6e4054b90c167

恶意ProxyMain 合约2：0xF36C407F3C467e9364Ac1b2486aA199751BA177D

恶意Proxy合约创建者：0x5A58D1a81c73Dc5f1d56bA41e413Ee5288c65d7F

其中一笔漏洞利用交易：0x570cf199a84ab93b33e968849c346eb2b761db24b737d44536d1bcb010bca69d

攻击流程：

1.2023年12月12日22:20:35，EOA(0x5A58D1a8)创建了ProxyMain合约(0x5c4794d9)；

2.2023年12月12日22:23:47，Proxy Admin Owner（0xc82Ea2af）通过Proxy Admin（0x3c18F855）将DEXProxy合约升级为新的执行合约（0x5c4794d9）；

3.2023年12月12日23:52:47，EOA(0x5A58D1a8)创建了ProxyMain合约(0xF36C407F)；

4.2023年12月12日23:53:59，Proxy Admin Owner（0xc82Ea2af）通过Proxy Admin（0x3c18F855）将DEXProxy合约升级为新的执行合约（0xF36C407F）；

5.这两次升级合约的目的相同，新合约的功能是调用TokenApprove合约的claimTokens函数来完成转账。

二、攻击原理分析

1.在执行合约ProxyMain时，首先限制该合约的调用者必须是攻击者地址（0xFacf375A），然后执行Dex Aggregator合约的claimTokens函数；

2.在Dex Aggregator合约的claimTokens函数中，由于该合约尚未在 Etherscan 上开源，我们通过反编译获得了其源代码。从代码片段中可以看出，claimTokens函数会验证代理是否可信。一旦验证通过，它将调用OKX DEX: TokenApprove函数；

3.在OKX DEX: TokenApprove函数中，正常检测调用者是否是可信Proxy。与先前的可信Proxy验证相同，只要是可信Proxy并且用户已经授权TokenApprove，攻击者就能够窃取被授权用户的资金。

三、链上资产追踪

攻击和资产转移主要聚焦在如下3个地址：

攻击地址：0xFacf375Af906f55453537ca31fFA99053A010239 （OKX Exploiter）；

收款地址：0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d （OKX Exploiter2）；

收款地址：0x0519eFACB73A1f10b8198871E58D68864e78B8A5 （OKX Exploiter3）。

在这次攻击中，攻击地址只负责不断调用TokenApprove合约的claimTokens函数来发起转账，通过两个收款地址完成收款。

1.攻击地址 ：0xFacf375Af906f55453537ca31fFA99053A010239 （OKX Exploiter）在发起攻击前的历史交易：

Inflow：

Outflow：

分别向0x4187b2daf33764803714D22F3Ce44e8c9170A0f3转账20419USDT和1173USDT，通过中间地址0x4A0cF014849702C0c3c46C2df90F0CAd1E504328、Railgun:Relay以及多个中间地址转至0x7A20527ba5a749b3b054a821950Bfcc2C01b959f，该地址有高频次数值千以上的转入，然后以每笔300000USDT的形式转账至0x6b8DEfc76faA33EC11006CEa5176B1cec2078DfE，随后转入带有OKX标签的多个地址，e.g.

0x3D55CCb2a943d88D39dd2E62DAf767C69fD0179F(OKX 23)
0x68841a1806fF291314946EebD0cdA8b348E73d6D(OKX 26)

0xBDa23B750dD04F792ad365B5F2a6F1d8593796f2（OKX 21）

0x276cdBa3a39aBF9cEdBa0F1948312c0681E6D5Fd（OKX 22）

....

此外该地址还有通过Railgun:Relay转移部分USDT、通过Uniswap换币的行为。

2.收款地址1：0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d （OKX Exploiter2）：

Inflow:

Outflow:

通过4个地址:

0xBbEa72B68138B9a1c3fec2f563E323d025510A4c

0x141F12aB25Fcd1c470a2ede34ad4ec49718B5209

0xFD681A9aA555391Ef772C53144db8404AEC76030

0x17865c33e40814d691663bC292b2F77000f94c34

分散资金，然后使用标签为Railgun:Relay & Railgun: Treasury的地址转移，最终通过标签为Stargate的地址转移410204.0USDT至BNB Smart Chain上。

3.收款地址2：0x0519eFACB73A1f10b8198871E58D68864e78B8A5 （OKX Exploiter3）

通过中间地址0x48E3712C473364814Ac8d87a2A70a9004a42E9a3

转移62万USDT至

0xE8A66A5862Ba07381956449e58999DB541e4DE93

和0x8094b97A1663b7b73d6c76811355a734BA6F4A1A，

然后这两个地址又分别转移到两个新地址：

0xB31a2196050A3B861C65f23E180E56eD51cf75D7

和0x0C1f0233091D6ed371dC84A0ad1602209bCa429c，

最后通过标签为Stargate的地址转移617964.77到Avalanche C-Chain上。

黑客在OKX、Gate.io、MEXC多个交易所上可能开设有账号并进行过交易，可以进行针对性KYC取证，并且Kumo x World的项目合约部署地址也与黑客地址有直接的转账交易。

四、安全建议

此次攻击事件的根本原因是Proxy Admin Owner（0xc82Ea2af） 的私钥泄露，导致升级了攻击者部署的恶意 Proxy。由于升级了新的恶意执行合约，该合约被列为可信任的 Proxy。TokenApprove 检测到恶意执行合约是可信的，因此攻击者可以窃取用户过多授权给 TokenApprove 的资金。所以，请务必保管好重要账户地址的私钥。

原文始发于微信公众号（AI与网安）：OKX DEX攻击事件分析及链上资产追踪