Beosin：zkSync生態DEX Merlin安全事件分析_ETH

原文來源：Beosin

2023?年?4?月?26?日，據?Beosin-EagleEye?態勢感知平臺消息，MerlinDex?發生安全事件，USDC-WETH?流動性池的資金已全部被提取，攻擊者獲利共約?180?萬美金。據了解，MerlinDex是一個去中心化交易所，關于本次安全事件，Beosin?安全團隊第一時間對事件進行了分析，結果如下。

事件相關信息

我們以其中一筆交易為例進行分析

攻擊交易

Beosin解析Reaper Farm遭攻擊事件：_withdraw中owner地址可控且未作任何訪問控制:8月2日消息，據 Beosin EagleEye 安全輿情監控數據顯示，Reaper Farm 項目遭到黑客攻擊，Beosin 安全團隊發現由于_withdraw 中 owner 地址可控且未作任何訪問控制，導致調用 withdraw 或 redeem 函數可提取任意用戶資產。攻擊者（0x5636 開頭）利用攻擊合約（0x8162 開頭）通過漏洞合約（0xcda5 開頭）提取用戶資金，累計獲利 62 ETH 和 160 萬 DAI，約價值 170 萬美元，目前攻擊者（0x2c17 開頭）已通過跨鏈將所有獲利資金轉入 Tornado.Cash。[2022/8/2 2:54:18]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

tribeOS通過GRID平臺完成證券型代幣發行:廣告科技公司tribeOS已通過GSX Group旗下的GRID平臺完成了證券型代幣發行。GSX Group首席執行官Nick Cowan強調，tribeOS是第一家使用該公司證券型代幣平臺GRID的公司，該公司同樣歡迎其他希望“加快在資本領域采用區塊鏈技術”的公司。（Cointelegraph）[2020/5/28]

攻擊者地址

0xc0D6987d10430292A3ca994dd7A31E461eb28182

動態 | Beosin預警：cubecontract遭受攻擊 攻擊者已獲利:Beosin（成都鏈安）預警，今天下午14:46-14:51之間，根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，黑客justjiezhan1向EOS競猜類游戲cubecontract發起攻擊且已經獲利。在此之前，黑客justjiezhan1已于12:00:41左右開始部署攻擊合約，成都鏈安安全分析人員初步分析認為攻擊者仍然與之前的攻擊手法相同，為交易阻塞攻擊。在此我們建議游戲合約開發者應該重視游戲邏輯嚴謹性及代碼安全性，同時呼吁游戲項目方在項目上鏈前進行完善的代碼安全審計，必要時可借助第三方專業審計團隊的力量防患于未然。[2019/3/18]

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

被攻擊合約

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻擊流程

1.第一步，池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約，在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻擊者通過工廠合約部署?USDC-WETH?池子，池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址，可以看到這存在明顯的中心化風險。

3.于是在有了最大授權的情況下，攻擊者轉走了該池子中的所有代幣。

4.值得注意的是，在攻擊發生之前，工廠合約的?Owner?和?Feeto?地址曾有過改動，但這一步并不是攻擊所必須的，猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流動性池的資金已全部被提取，攻擊者獲利共約?180?萬美金。

漏洞分析

Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題，在初始化時最大化授權了工廠合約中的?Feeto?地址，而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。

資金追蹤

攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth，通過?Anyswap?跨鏈后轉到以太坊地址和地址上，共獲利約?180?萬美元。

截止發文時，BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上，Beosin?安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件，Beosin?安全團隊建議，項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址，用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags：EOSSINETHFEETEOS VenezuelaCasino Coineth官網登錄入口FEET幣

Gateio