原文来源:Beosin
2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
我们以其中一笔交易为例进行分析
攻击交易
Beosin:Arcadia Finance项目遭受攻击,黑客获利约45万美元:金色财经报道,7月10日,Beosin EagleEye监测显示,链上保证金协议Arcadia Finance项目遭受黑客攻击,黑客获利约45万美元。[2023/7/10 10:45:30]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
攻击者地址
0xc0D6987d10430292A3ca994dd7A31E461eb28182
Beosin:BonqDAO攻击者通过操纵ALBT价格并铸造大量BEUR代币获利:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年2月2日, 加密协议BonqDAO和AllianceBlock遭到价格操控攻击,Beosin安全团队分析发现,攻击原因为攻击者提高了 ALBT 价格并铸造了大量 BEUR代币,然后在 Uniswap 上将 BEUR 换成其他代币,然后ALBT价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算,造成损失约 8800 万美元,Beosin Trace追踪发现目前大部分获利资金仍在黑客钱包(0x34483cfc1ea7e59d42a04096f56cd5517bb66b44)。目前AllianceBlock 和 Bonq 团队,包括所有相关合作伙伴,现在正在消除流动性并停止所有交易所交易。同时,暂停了 AllianceBlock Bridge 上的所有活动。[2023/2/2 11:42:51]
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Beosin:2022年全年Web3领域因各类攻击造成的总损失达到了36亿384万美元:金色财经报道,2022 年全年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件超 167 起,因各类攻击造成的总损失超 36 亿美元,较 2021 年攻击类损失增加了 47.4%。其中单次损失超过一亿美元的安全事件共 10 起,1000 万至一亿美元的安全事件共 21 起。[2022/12/29 22:14:40]
被攻击合约
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻击流程
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。
漏洞分析
Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。
资金追踪
攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。
截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
Gate.ioSFTY、LSD、CARE、MGKL、RLTM、VELAandREIGNTradeCompetitionhascometoasuccessfulend!Accordingtothe.
1900/1/1 0:00:00全球性非盈利區塊鏈慈善基金組織GateCharity在印尼成功舉辦了一場區塊鏈慈善活動,邀請了當地兒童學校TamanKanak-KanakYabeLale的孩子們參與.
1900/1/1 0:00:00原文标题:HowdoesArbitrumfinditsecoLogicaLnicheinModuLarOriented?原文作者:Vision.
1900/1/1 0:00:00中本聪时代的比特币鲸鱼在12年没有交易后移动了400BTC,价值约1100万美元。周一的走势显示,鲸鱼将360个比特币转移到一个钱包,将另外40个比特币转移到其他多个位置.
1900/1/1 0:00:00原文标题:《BandwidthUsageafterEthereumWithdrawals》原文作者:AlexMiller?原文编译:Kxp,BlockBeats4月12日.
1900/1/1 0:00:00Gate.io上架,其中包括BTC&USDTÐ等不同币种产品。作为保本理财产品,Gate.io旗下结构化产品为用户提供最高15%的年化收益.
1900/1/1 0:00:00