ETH:Beosin：zkSync生態DEX Merlin安全事件分析_EOS

原文來源：Beosin

2023?年?4?月?26?日，據?Beosin-EagleEye?態勢感知平臺消息，MerlinDex?發生安全事件，USDC-WETH?流動性池的資金已全部被提取，攻擊者獲利共約?180?萬美金。據了解，MerlinDex是一個去中心化交易所，關于本次安全事件，Beosin?安全團隊第一時間對事件進行了分析，結果如下。

事件相關信息

我們以其中一筆交易為例進行分析

攻擊交易

Beosin：穩定幣協議Steadifi遭到攻擊損失約114萬美元:金色財經報道，據Beosin EagleEye監測發現，穩定幣協議Steadifi遭到攻擊,攻擊者獲取了協議部署錢包的控制權。攻擊者已將所有金庫（借貸和策略）投資組合的所有權轉移至自己控制的錢包(0x9cf71F2ff126B9743319B60d2D873F0E508810dc),目前，攻擊者已在Arbitrum和Avalanche上耗盡了所有可借出資金，并通過跨鏈橋將資產兌換成以太幣轉移到以太坊主網，被盜資金約1,140,000美元。

Steadifi正與攻擊者進行談判，提供10%的賞金以換回剩余90%的被盜資產。[2023/8/8 21:31:18]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

Beosin：ETH鏈上SCO項目Rug Pull:金色財經報道，區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示，ETH鏈上SCO項目Rug Pull，獲利90ETH，約17萬美元。[2023/7/21 15:50:12]

攻擊者地址

0xc0D6987d10430292A3ca994dd7A31E461eb28182

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

Beosin：QANplatform跨鏈橋遭受黑客攻擊，涉及金額約189萬美元:10月11日消息，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，QANplatform跨鏈橋項目遭受黑客攻擊。攻擊交易為以下兩筆0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),

0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。

Beosin安全團隊分析發現攻擊者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址（因為0x68e819是創建跨鏈橋地址，所以該地址應該屬于項目方。）調用跨鏈橋合約中的bridgeWithdraw函數提取QANX代幣，然后把QANX代幣兌換為相應平臺幣。存放在攻擊者地址上（0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11）。目前被盜資金中還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/11 10:31:06]

被攻擊合約

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻擊流程

1.第一步，池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約，在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻擊者通過工廠合約部署?USDC-WETH?池子，池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址，可以看到這存在明顯的中心化風險。

3.于是在有了最大授權的情況下，攻擊者轉走了該池子中的所有代幣。

4.值得注意的是，在攻擊發生之前，工廠合約的?Owner?和?Feeto?地址曾有過改動，但這一步并不是攻擊所必須的，猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流動性池的資金已全部被提取，攻擊者獲利共約?180?萬美金。

漏洞分析

Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題，在初始化時最大化授權了工廠合約中的?Feeto?地址，而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。

資金追蹤

攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth，通過?Anyswap?跨鏈后轉到以太坊地址和地址上，共獲利約?180?萬美元。

截止發文時，BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上，Beosin?安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件，Beosin?安全團隊建議，項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址，用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags：EOSSINETHFEETEOSDACSingularityNETCETHFEET幣

Coinw