链资讯 链资讯
Ctrl+D收藏链资讯

SIN:Beosin:zkSync生态DEX Merlin安全事件分析_ETH

作者:

时间:

原文来源:Beosin

2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。

事件相关信息

我们以其中一笔交易为例进行分析

攻击交易

Beosin:Balancer受多次闪电贷攻击损失87万美元,建议用户撤回相关LP:8月27日消息,据Beosin监测,Balancer受多次闪电贷攻击,总损失金额达87万美元,建议用户按照官方提示撤回受漏洞影响池子的LP。[2023/8/27 12:59:47]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

攻击者地址

0xc0D6987d10430292A3ca994dd7A31E461eb28182

Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

声音 | Beosin预警:Mercatox交易所再次遭hard_fail攻击:成都链安态势感知系统Beosin Eagle Eye检测到,今日晚上7点左右攻击mercatox交易所的黑客于晚上10:23时再次对该交易所发起(hard_fail)攻击,并获利500多EOS。成都链安提醒各大交易所,近日来不断有黑客尝试用(hard_fail)攻击手法来试探各大交易所,各大交易所需做好防护措施。[2019/3/15]

被攻击合约

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻击流程

1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。

3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。

4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。

漏洞分析

Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。

资金追踪

攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。

截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签:SINEOSFEETETHBusiness 99EOS Se7ensFEET价格Nether

欧易okex官网热门资讯
OIN:KuCoin Convert Adds 15 Trading Pairs_CoinPark Token New

DearKuCoinUsers,KuCoinispleasedtoannouncethat15tradingpairshavebeenaddedtoKuCoinConvert!Newtradin.

COM:?又一家仿冒WEEX唯客的黑平台:WEEK疯狂收割韭菜_KART

?人怕出名猪怕壮。近期,WEEX唯客跻身CoinMarketCap衍生品交易所Top20,并获得了Cryptowisser、Bloomberg、Yahoo等权威媒体的关注.

BitMart:BitMart上线Tether Gold (XAUT)_Qitmeer

亲爱的BitMart用户:BitMart将于2023年4月28日上线代币TetherGold(XAUT)。届时将开通XAUT/USDT交易对.

TOKEN:一文教你破解 Telegram 常见局|imToken 钱包安全月报 13 期_imtoken

近期,随着以太坊上海升级以及Layer2生态热点的崛起,数字资产市场再次焕发生机。新老用户纷纷通过Telegram、Discord等社交平台与其他人交流,以获取最新的行业新闻、项目信息和市场动态.

GAM:DCT生态系统:在区块链和AI技术的驱动下推动数字经济_NFT

数字货币和区块链技术正在改变现代经济的面貌,而DCT生态系统则是这种变革的一个重要组成部分。DriveCapital认识到当前区块链和人工智能形式的发展趋势,以全球性社区为基石发行了全新的数字代.

GAM:掌握Web3游戏数据分析, 揭秘4个开发者需追踪的关键指标_MEF

引入:需要关注的关键指标包括哪些区块链游戏在开发运营过程中需要追踪的关键指标包括红馆加密市场数据,DAU、MAU和用户留存相关的用户数据、社交媒体参与数据,以及游戏内资产等生态系统相关数据.