2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin安全團隊第一時間對事件進行了分析,結果如下。事件相關信息
我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程
Beosin:ETH鏈上SCO項目Rug Pull:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,ETH鏈上SCO項目Rug Pull,獲利90ETH,約17萬美元。[2023/7/21 15:50:12]
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Beosin:Polygon鏈上Atlantis Loans協議再度發起惡意提案:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上Atlantis Loans協議再度發起惡意提案,提案ID:18。事前2023年6月11日Atlantis Loans協議曾經因惡意提案篡改管理合約權限,替換后門合約,導致協議損失250W美元。Beosin提醒相關用戶盡快移除相關授權,防止資產損失。[2023/7/14 10:55:03]
Beosin:Arbitrum上的Rodeo Finance疑似遭遇攻擊,損失150萬美元:金色財經報道,據Beosin旗下Beosin EagleEye監控顯示,Arbitrum上的杠桿收益協議Rodeo Finance疑似遭遇攻擊,目前統計被盜資金約150萬美元,Beosin提醒用戶注意資金安全。[2023/7/11 10:48:08]
2.攻擊者通過工廠合約部署USDC-WETH池子,池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址,可以看到這存在明顯的中心化風險。
Beosin:FTX黑客再次清洗部分被盜資產,約830萬美元:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,截止北京時間11月17日11點 , FTX黑客再次清洗部分被盜資產,FTX攻擊事件黑客(鏈上地址被標記為FTX Accounts Drainer)從幣安鏈上通過兌換跨鏈將6868 ETH的資產轉移到以太坊,約830萬美元,Beosin Trace正持續對該黑地址進行監控。[2022/11/17 13:16:04]
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的Owner和Feeto地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。漏洞分析
Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題,在初始化時最大化授權了工廠合約中的Feeto地址,而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤
攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth,通過Anyswap跨鏈后轉到以太坊地址和地址上,共獲利約180萬美元。截止發文時,BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
今天,Coinbase在聯邦法院向美國證券交易委員會提起訴訟。因Coinbase于2022年7月向SEC發出請愿書,希望其通過正式規則的制定流程為加密行業提供指導,但SEC遲遲未給出正式答復,因.
1900/1/1 0:00:00Web3游戲以及重要運營數據Web3游戲是基于區塊鏈技術的游戲,也稱為鏈游。區塊鏈使玩家能夠擁有和交易游戲中的物品,如NFT和其他數字資產。這些資產在去中心化的市場上使用智能合約進行管理和交易.
1900/1/1 0:00:00相關閱讀: NFT交易平臺生存現狀研究:交易挖礦的窮途末路披露:作者作為個人投資者持有NFT平臺代幣等相關資產,與任一平臺或項目方均無任何利益往來.
1900/1/1 0:00:001.EigenLayer簡介:LSDfi,以太坊再質押市場,引入了再質押概念官網:https://www.eigenlayer.xyz/總融資:6450萬美金.
1900/1/1 0:00:00近日,新比特幣NFT協議BitcoinStamps因「更永久的存儲」而受到一些關注。不同于Ordinals協議的將數據存放在「見證數據」,BitcoinStamps利用2014年就誕生、曾為「R.
1900/1/1 0:00:00隨著以太坊生態系統的不斷發展和擴大,越來越多的人開始考慮將他們的ETH資產用于質押和賺取回報。然而,對于許多對ETH質押不了解的人而言,成為ETH質押者的方法仍然過于復雜.
1900/1/1 0:00:00