原文來源:Beosin
2023?年?4?月?26?日,據?Beosin-EagleEye?態勢感知平臺消息,MerlinDex?發生安全事件,USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin?安全團隊第一時間對事件進行了分析,結果如下。
事件相關信息
我們以其中一筆交易為例進行分析
攻擊交易
Beosin:BonqDAO攻擊者通過操縱ALBT價格并鑄造大量BEUR代幣獲利:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年2月2日, 加密協議BonqDAO和AllianceBlock遭到價格操控攻擊,Beosin安全團隊分析發現,攻擊原因為攻擊者提高了 ALBT 價格并鑄造了大量 BEUR代幣,然后在 Uniswap 上將 BEUR 換成其他代幣,然后ALBT價格下降到幾乎為零,這進一步引發了 ALBT 寶庫的清算,造成損失約 8800 萬美元,Beosin Trace追蹤發現目前大部分獲利資金仍在黑客錢包(0x34483cfc1ea7e59d42a04096f56cd5517bb66b44)。目前AllianceBlock 和 Bonq 團隊,包括所有相關合作伙伴,現在正在消除流動性并停止所有交易所交易。同時,暫停了 AllianceBlock Bridge 上的所有活動。[2023/2/2 11:42:51]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
區塊鏈安全公司Beosin宣布完成近2000萬美元A輪戰略融資:金色財經報道,區塊鏈核心安全服務廠商Beosin宣布完成近2000萬美元戰略融資,投資人為知名產業方,多家老股東跟投。Beosin是一家全球領先的區塊鏈安全公司,其核心業務包括智能合約安全審計,區塊鏈項目安全風險監控、預警與阻斷,被盜虛擬資產追回,KYT/AML等“一站式”安全產品+服務解決方案,目前已為全球2000多個區塊鏈企業服務,保護客戶資產高達5000多億美元。新資金將用于區塊鏈安全新技術研發,生態建設和全球市場布局。[2022/11/3 12:12:23]
攻擊者地址
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
0xc0D6987d10430292A3ca994dd7A31E461eb28182
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
被攻擊合約
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻擊流程
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻擊者通過工廠合約部署?USDC-WETH?池子,池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址,可以看到這存在明顯的中心化風險。
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的?Owner?和?Feeto?地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。
漏洞分析
Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題,在初始化時最大化授權了工廠合約中的?Feeto?地址,而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。
資金追蹤
攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth,通過?Anyswap?跨鏈后轉到以太坊地址和地址上,共獲利約?180?萬美元。
截止發文時,BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin?安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin?安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
尊敬的用戶:由於FAX節點升級,Hotcoin現已暫停FAX充值、提現業務,交易不受影響,具體開放時間敬請留意官方公告.
1900/1/1 0:00:00隨著存款增加超過取款,鎖定的ETH總量達到新高。但是,在處理完所有提款后,情況可能很快就會改變。隨著存款增加,鎖定在信標鏈上的以太坊達到新高。隨著拋售壓力激增,鯨魚開始對ETH失去興趣.
1900/1/1 0:00:00個人認為,小散戶想要在下一輪牛市中超越大部分人獲得超額回報,就只能盡量去做盈虧比高的操作。 什么叫盈虧比高? 如果你把時間線定在2年內,那么btc,eth這類的藍籌雖然很好,但是盈虧比真的不高.
1900/1/1 0:00:00去美元化的時代來臨,美元霸權即將結束。中國除了大量購買黃金,也低調支持香港重新擁抱加密貨幣。周一(4月24日),兩大重磅消息傳來,幣安恢復俄羅斯銀行卡支持,傳出已取消歐美制裁下的存款限額,暗示著.
1900/1/1 0:00:00ShibaInu已將自己確立為一種著名的受模因啟發的加密貨幣。它甚至在市值排名前20的加密貨幣中占有一席之地。SHIB開發團隊通過各種舉措、開發、合作和上市展示了對改進meme硬幣的堅定承諾.
1900/1/1 0:00:00原文標題:《StarknetGoalsandRoadmapfor2023?》原文作者:StarkWare 原文編譯:Kate 這篇文章將闡述Starknet的2023年路線圖.
1900/1/1 0:00:00