原文來源:Beosin
2023?年?4?月?26?日,據?Beosin-EagleEye?態勢感知平臺消息,MerlinDex?發生安全事件,USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin?安全團隊第一時間對事件進行了分析,結果如下。
事件相關信息
我們以其中一筆交易為例進行分析
攻擊交易
Beosin:穩定幣協議Steadifi遭到攻擊損失約114萬美元:金色財經報道,據Beosin EagleEye監測發現,穩定幣協議Steadifi遭到攻擊,攻擊者獲取了協議部署錢包的控制權。攻擊者已將所有金庫(借貸和策略)投資組合的所有權轉移至自己控制的錢包(0x9cf71F2ff126B9743319B60d2D873F0E508810dc),目前,攻擊者已在Arbitrum和Avalanche上耗盡了所有可借出資金,并通過跨鏈橋將資產兌換成以太幣轉移到以太坊主網,被盜資金約1,140,000美元。
Steadifi正與攻擊者進行談判,提供10%的賞金以換回剩余90%的被盜資產。[2023/8/8 21:31:18]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
Beosin:ETH鏈上SCO項目Rug Pull:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上SCO項目Rug Pull,獲利90ETH,約17萬美元。[2023/7/21 15:50:12]
攻擊者地址
0xc0D6987d10430292A3ca994dd7A31E461eb28182
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Beosin:QANplatform跨鏈橋遭受黑客攻擊,涉及金額約189萬美元:10月11日消息,據Beosin EagleEye Web3安全預警與監控平臺監測顯示,QANplatform跨鏈橋項目遭受黑客攻擊。攻擊交易為以下兩筆0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全團隊分析發現攻擊者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因為0x68e819是創建跨鏈橋地址,所以該地址應該屬于項目方。)調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣,然后把QANX代幣兌換為相應平臺幣。存放在攻擊者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盜資金中還存放在攻擊者地址,Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/11 10:31:06]
被攻擊合約
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻擊流程
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻擊者通過工廠合約部署?USDC-WETH?池子,池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址,可以看到這存在明顯的中心化風險。
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的?Owner?和?Feeto?地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。
漏洞分析
Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題,在初始化時最大化授權了工廠合約中的?Feeto?地址,而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。
資金追蹤
攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth,通過?Anyswap?跨鏈后轉到以太坊地址和地址上,共獲利約?180?萬美元。
截止發文時,BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin?安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin?安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
紐約聯儲更新的規則可能會認為穩定幣發行人Circle“沒有資格”進入美聯儲的貨幣市場。紐約聯儲針對希望使用其貨幣市場平衡器的交易對手發布了新規則,這給穩定幣發行人Circle使用美聯儲系統的意圖.
1900/1/1 0:00:00這是一般性公告,此處提及的產品和服務可能不適用于您所在的地區。親愛的用戶:雙幣投資現已上線新一批不同交割日和行使價格的雙幣投資產品,用戶可認購低買或高賣產品.
1900/1/1 0:00:00BTC價格目標正在突破最近的10個月高點,比特幣多頭受到FirstRepublic損失的鼓舞。 公眾呺:Web3團子 比特幣隨著多頭從美國銀行業的困境中獲得進一步的動力,4月26日華爾街開盤價為.
1900/1/1 0:00:00以太坊價格下跌13%導致鯨魚在五天內增持了價值18億美元的ETH。Coinbase、Huobi和Kraken等中心化交易所的凈流出量創下上海升級以來的最高水平.
1900/1/1 0:00:00全球性非盈利區塊鏈慈善組織GateCharity,於2023年3月31日探訪了印度尼西亞學校TamanKanak-KanakYabeLale.
1900/1/1 0:00:00進裙關注公中呺:全因素熱愛市場出現小幅反彈,從時間節點上看,大概率是受微軟,谷歌超出市場預期的財報影響,微軟盤后大漲8%,納指期貨也出現直線拉升除此之外,加密市場也傳出了一定好消息.
1900/1/1 0:00:00