SIN:Beosin：zkSync生态DEX Merlin安全事件分析

2023年4月26日，据Beosin-EagleEye态势感知平台消息，MerlinDex发生安全事件，USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin安全团队第一时间对事件进行了分析，结果如下。事件相关信息

我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程

Beosin：Euler Finance攻击者转移约188万美元资金:3月17日消息，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年3月16日，Euler Finance攻击者将1000个ETH和100个ETH分别转到0xc66dfa84bc1b93df194bd964a41282da65d73c9a(Euler Finance Exploiter 4)和0x098b716b8aaf21512996dc57eb0615e2383e2f96（Ronin Bridge Exploiter

）。

此前消息，2023年3月13日，DeFi借贷协议Euler Finance遭受攻击，损失近2亿美元。[2023/3/17 13:10:18]

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Beosin：SEAMAN合约遭受漏洞攻击简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月29日，SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时，都会将SEAMAN代币兑换为凭证代币GVC，而SEAMAN代币和GVC代币分别处于两个交易对，导致攻击者可以利用该函数影响其中一个代币的价格。

攻击者首先通过50万BUSD兑换为GVC代币，接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币，此时会触发合约将能使用的SEAMAN代币兑换为GVC，兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD，接下来在BUSD-GVC交易对中将BUSD兑换为GVC，攻击者通过多次调用transfer函数触发_splitlpToken()函数，并且会将GVC分发给lpUser，会消耗BUSD-GVC交易对中GVC的数量，从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD，获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户（0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c），将持续关注资金走向。[2022/11/29 21:10:04]

Beosin：BNBChain上THB项目遭受攻击事件分析:10月1日消息，据Beosin EagleEye平台监测显示，THB项目遭受攻击。Beosin安全团队分析发现攻击者0xbC62b9BA570aD783d21E5eB006F3665D3f6bBA93利用重入漏洞盗取THBR NFT，攻击合约0xfed1b640633fd0a4d77315d229918ab1f6e612f9，攻击交易0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0

目前盗取的8个NFT任在攻击者账户(0xfeD1...12f9)。[2022/10/1 18:36:58]

2.攻击者通过工厂合约部署USDC-WETH池子，池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址，可以看到这存在明显的中心化风险。

动态 | Beosin预警：持续警惕hardfail状态攻击 ?:Beosin（成都链安）预警，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，目前仍有不少攻击者尝试使用hard_fail 状态攻击，攻击测试目标已由交易所转向各类游戏合约，截止9号晚间10点，攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易，在两次交易中设置同样的memo，如果项目方从节点获取交易数据时没有做好完整的交易判断，可能会因此造成损失，这种攻击尝试虽然简单但仍可能造成危害，Beosin（成都链安）提醒各项目方做好自检自查，对交易执行状态进行校验，避免不必要的损失。[2019/4/9]

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的Owner和Feeto地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。漏洞分析

Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题，在初始化时最大化授权了工厂合约中的Feeto地址，而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪

攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth，通过Anyswap跨链后转到以太坊地址和地址上，共获利约180万美元。截止发文时，BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签：SINEOSUSDGVCSINU币eos币最新资讯busd币值得投资么GVC币

Uniswap热门资讯