2023年4月26日,据Beosin-EagleEye态势感知平台消息,MerlinDex发生安全事件,USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin安全团队第一时间对事件进行了分析,结果如下。事件相关信息
我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程
Beosin:Arbitrum上的Rodeo Finance疑似遭遇攻击,损失150万美元:金色财经报道,据Beosin旗下Beosin EagleEye监控显示,Arbitrum上的杠杆收益协议Rodeo Finance疑似遭遇攻击,目前统计被盗资金约150万美元,Beosin提醒用户注意资金安全。[2023/7/11 10:48:08]
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Beosin:CS (CS)token遭受到攻击,损失金额截至目前约71.4万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月24日,bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下:
1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。
2、攻击者开始卖出3000 CS代币,这一步会设置sellAmount。
3、攻击者通过给自己转账,会触发sync(),在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2,3步持续减少pair中的CS代币数量,拉升CS代币的价格,使得后续一步可以兑换出更多的BSC-USD。
借入80,000,000 BSC-USD,兑换出80,954,000 BSC-USD,偿还80,240,000 BSC-USD,获利约714,000 BSC-USD。[2023/5/24 15:22:35]
Beosin:Ankr Staking遭遇私钥泄露,目前Wombat池子被掏空:12月2日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc,从而影响了pair(0x272c...880)中的WBNB和aBNBc的价格,而Wombat项目的WBNB和aBNBc兑换率约为1:1,导致存在套利空间。目前套利地址(0x20a..76f)共获利约200万美元,Beosin Trace将持续对被盗资金进行监控。[2022/12/2 21:17:42]
2.攻击者通过工厂合约部署USDC-WETH池子,池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址,可以看到这存在明显的中心化风险。
声音 | Beosin预警:Mercatox交易所再次遭hard_fail攻击:成都链安态势感知系统Beosin Eagle Eye检测到,今日晚上7点左右攻击mercatox交易所的黑客于晚上10:23时再次对该交易所发起(hard_fail)攻击,并获利500多EOS。成都链安提醒各大交易所,近日来不断有黑客尝试用(hard_fail)攻击手法来试探各大交易所,各大交易所需做好防护措施。[2019/3/15]
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的Owner和Feeto地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。漏洞分析
Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题,在初始化时最大化授权了工厂合约中的Feeto地址,而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪
攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth,通过Anyswap跨链后转到以太坊地址和地址上,共获利约180万美元。截止发文时,BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
标签:SINEOSFEETETHSIN价格eos币最新利好消息FEET币PoolTogether USDC Ticket
过去数日,以太坊主网的gas价格明显上涨,且基本一直持续在50GWEI左右居高不下,这让许多习惯在主网操作的用户感到困扰.
前言 4月25日,在美国得克萨斯州的首府奥斯汀,这座充满活力和创造力的城市,欧科云链研究院与来自哥伦比亚商学院的AustinCampbell教授就美国加密监管以及其相关话题进行了一次深入探讨.
头条 ETH突破2100USDT,24H涨幅5.51%Odaily星球日报讯欧易OKX行情显示,ETH突破2100USDT,现报2106.13USDT,24H涨幅5.51%.
在去年CurveWar中,流动性贿赂市场运营商Redacted推出投票聚合器RedactedCartel,成功在贿选市场中占据一席之地.
Odaily星球日报译者|Moni 4月26日,美元稳定币USDC发行方Circle宣布推出以太坊和Avalanche之间的USDC跨链传输协议.
原文来源于Dappradar,白泽研究院编译。因篇幅原因略有内容删改,建议感兴趣的读者阅读原文:随着BoredApeYachtClub(BAYC)成立两周年的临近,现在正是回顾YugaLabs不.