OKX DEX Proxy 管理员私钥泄露事件分析及安全建议

一、攻击事件分析

2023年12月12日，OKX DEX Proxy 管理员私钥疑似泄露，攻击者已获利约270万美元。SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

二、攻击原理分析

1.在执行合约ProxyMain时，首先限制该合约的调用者必须是攻击者地址（0xFacf375A），然后执行Dex Aggregator合约的claimTokens函数；

2.在Dex Aggregator合约的claimTokens函数中，由于该合约尚未在 Etherscan 上开源，我们通过反编译获得了其源代码。从代码片段中可以看出，claimTokens函数会验证代理是否可信。一旦验证通过，它将调用OKX DEX: TokenApprove函数；

3.在OKX DEX: TokenApprove函数中，正常检测调用者是否是可信Proxy。与先前的可信Proxy验证相同，只要是可信Proxy并且用户已经授权TokenApprove，攻击者就能够窃取被授权用户的资金。

三、链上资产追踪

攻击和资产转移主要聚焦在如下3个地址：

攻击地址：0xFacf375Af906f55453537ca31fFA99053A010239 （OKX Exploiter）；

收款地址：0x1F14E38666cDd8e8975f9acC09e24E9a28fbC42d （OKX Exploiter2）；

收款地址：0x0519eFACB73A1f10b8198871E58D68864e78B8A5 （OKX Exploiter3）。

在这次攻击中，攻击地址只负责不断调用TokenApprove合约的claimTokens函数来发起转账，通过两个收款地址完成收款。

四、安全建议

此次攻击事件的根本原因是Proxy Admin Owner（0xc82Ea2af）的私钥泄露，导致升级了攻击者部署的恶意Proxy。由于升级了新的恶意执行合约，该合约被列为可信任的Proxy。TokenApprove检测到恶意执行合约是可信的，因此攻击者可以窃取用户过多授权给TokenApprove的资金。所以，请务必保管好重要账户地址的私钥。

以上是对OKX DEX Proxy管理员私钥泄露事件的详细分析及安全建议。希望通过对此事件的总结，能够引起广大数字货币从业者的重视，加强安全防护措施，共同构建安全可靠的区块链行业。

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。