原文来源:Beosin
2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
我们以其中一笔交易为例进行分析
攻击交易
Beosin:2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道,2022 年全年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起,因各类攻击造成的总损失超 36 亿美元,较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起,1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
Beosin:10月区块链生态安全事件损失总金额约9亿8104万美元:金色财经报道,据 Beosin EagleEye 安全预警与监控平台监测显示,2022 年 10 月,各类安全事件数量和涉及金额较 9 月大幅上升。10 月发生较典型安全事件超 25 起,其中攻击类安全事件损失总金额约 9.8104 亿美元,约为 9 月损失金额的 5.97 倍。10 月为 2022 年以来区块链领域损失金额最高的一个月,有 60% 的攻击事件来自合约漏洞利用。[2022/10/31 12:01:06]
攻击者地址
声音 | Beosin(成都链安)预警:某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,今日上午 8:53:15开始,黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在,该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作,在收到安全公司的安全提醒之后第一时间排查项目安全性,才能及时止损,同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计,防患于未然。[2019/4/3]
0xc0D6987d10430292A3ca994dd7A31E461eb28182
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
被攻击合约
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻击流程
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。
漏洞分析
Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。
资金追踪
攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。
截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。