買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 波場 > Info

EOS:Beosin:zkSync生態DEX Merlin安全事件分析_SIN

Author:

Time:1900/1/1 0:00:00

2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin安全團隊第一時間對事件進行了分析,結果如下。事件相關信息

我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程

Beosin:civfund的ETH合約遭到攻擊,損失18萬美元:金色財經報道,據Beosin監測,civfund的ETH合約遭到攻擊,損失18萬美元。受害者合約0x7CAEC5E4a3906d0919895d113F7Ed9b3a0cbf826不是開源的。攻擊者調用uniswapV3MintCallback來轉移其他用戶批準的資金。請盡快撤銷對受攻擊合約的批準。[2023/7/8 22:25:30]

1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Beosin:sDAO項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BNB鏈上的sDAO項目遭受漏洞攻擊,Beosin分析發現由于sDAO合約的業務邏輯錯誤導致,getReward函數是根據合約擁有的LP代幣和用戶添加的LP代幣作為參數來計算的,計算的獎勵與用戶添加LP代幣數量正相關,與合約擁有總LP代幣數量負相關,但合約提供了一個withdrawTeam的方法,可以將合約擁有的BNB以及指定代幣全部發送給合約指定地址,該函數任何人都可調用。而本次攻擊者向其中添加了LP代幣之后,調用withdrawTeam函數將LP代幣全部發送給了指定地址,并立刻又向合約轉了一個極小數量的LP代幣,導致攻擊者在隨后調用getReward獲取獎勵的時候,使用的合約擁有總LP代幣數量是一個極小的值,使得獎勵異常放大。最終攻擊者通過該漏洞獲得的獎勵兌換為13662枚BUSD離場。Beosin Trace追蹤發現被盜金額仍在攻擊者賬戶,將持續關注資金走向。[2022/11/21 7:53:09]

Beosin:TempleDAO項目遭受黑客攻擊,涉及金額約236萬美元:據Beosin EagleEye Web3安全預警與監控平臺監測顯示,TempleDAO項目遭受黑客攻擊。因為在StaxLPStaking合約的migrateStake函數缺少權限校驗,導致任意人都可以通過該函數提取合約中的StaxLP。

Beosin安全團隊分析發現攻擊者已把全部獲得的StaxLP代幣全部兌換為ETH,目前被盜資金已全部轉移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址,Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:30]

2.攻擊者通過工廠合約部署USDC-WETH池子,池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址,可以看到這存在明顯的中心化風險。

動態 | 由BM父親Stan Larimer發布的BEOS鏈已在太空處理了第一筆區塊鏈交易:BEOS 是比特股和 EOS主網之間的中間鏈,它的存在能使兩個生態系統之間的產品和服務實現自由流動。

2018 年 12 月,SovereignSky 完成了在 Elon Musk(現任特斯拉汽車企業的 CEO) 的 Space X Falcon-9 火箭上的第一顆衛星(總共 8 顆)的發射。SpaceQuest 已將 BEOS 混合 SovereignSky 區塊鏈成功上傳到 AprizeSat-5,并且已經完成了太空中的第一批區塊鏈交易之一。區塊鏈交易已于 12 月 13 日在 AprizeSat-5 衛星上被確認。[2020/1/13]

3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。

4.值得注意的是,在攻擊發生之前,工廠合約的Owner和Feeto地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。漏洞分析

Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題,在初始化時最大化授權了工廠合約中的Feeto地址,而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤

攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth,通過Anyswap跨鏈后轉到以太坊地址和地址上,共獲利約180萬美元。截止發文時,BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件,Beosin安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags:EOSSINETHSTAleostokenblockchainBusiness官網ethbox Tokenstake幣2023年會不會暴漲

波場
NFT:萬字拆解Yuga Labs:從零到 “Web3 迪士尼”,只用了兩年_pala幣詐騙

原文來源于Dappradar,白澤研究院編譯。因篇幅原因略有內容刪改,建議感興趣的讀者閱讀原文:隨著BoredApeYachtClub(BAYC)成立兩周年的臨近,現在正是回顧YugaLabs不.

1900/1/1 0:00:00
BASE:Bankless:一覽五大新興L2項目,如何進行早期交互?_BAN

一年前,以太坊第二層(L2)擴展解決方案賽道的「四大」領頭羊是:Arbitrum、Optimism、zkSync和StarkNet.

1900/1/1 0:00:00
ADE:Meme玩家必看:四步幫你快速找到下一個PEPE_CRUSADER價格

在短短21天內完成37.5萬倍漲幅之后,$PEPE改變了許多人的生活。別人可以,我相信你也可以!這是我尋找早期潛力meme代幣的完整指南.

1900/1/1 0:00:00
USDT:爆款平臺幣預定 — 銀幣網發布平臺幣YB“質押挖礦”規則_SDT

自Fcoin開啟“交易挖礦”模式,引領了一波交易所平臺幣機制創新之后,平臺幣在發行機制方面已經近一年沒有太多熱點.

1900/1/1 0:00:00
比特幣:一文梳理以太坊L2網絡Mantle測試教程_AssetMantle

Mantle由最大的DAOBitDAO創建,BitDAO生態系統開發的以太坊二層網絡MantleCore于2月26日在BitDAO的治理論壇上提交了一項提案.

1900/1/1 0:00:00
加密貨幣:港交所報告解讀:ETF與全球金融市場虛擬資產生態圈的發展_區塊鏈幣是什么幣

3.香港推出的亞洲首批虛擬資產ETF:2022年12月16日在香港交易所上市2只ETF:比特幣期貨ETF+以太坊期貨ETF;2023年1月.

1900/1/1 0:00:00
ads