EOS:Beosin：zkSync生态DEX Merlin安全事件分析_USD

2023年4月26日，据Beosin-EagleEye态势感知平台消息，MerlinDex发生安全事件，USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin安全团队第一时间对事件进行了分析，结果如下。事件相关信息

我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程

乐队 Il-Chi将发行NFT作品“Beom Descending”:6月25日消息，乐队 Il-Chi将发行歌曲“Beom Descending”作为不可替代的代币（NFT）。据数字资产交易平台NFT Mania称，《Beom Coming Down》的NFT音源将在29日通过NFT Mania发布。（韩联社）[2021/6/25 0:05:49]

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

巧克力COCO智能合约已通过Beosin(成都链安）安全审计:据官方消息，Beosin（成都链安）近日已完成巧克力coco智能合约项目的安全审计服务。据介绍，巧克力COCO是基于波场底层打造的一个去中心化开放金融底层基础设施。结合波场TICP跨链协议，订单簿DEX，智能挖矿等等功能的创新和聚合，进而打造全面去中心化金融平台。巧克力COCO无ICO、零预挖且零私募，社区高度自治。合约地址：THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC审计报告编号：202010042149[2020/10/5]

动态 | 由BM父亲Stan Larimer发布的BEOS链已在太空处理了第一笔区块链交易:BEOS 是比特股和 EOS主网之间的中间链，它的存在能使两个生态系统之间的产品和服务实现自由流动。

2018 年 12 月，SovereignSky 完成了在 Elon Musk(现任特斯拉汽车企业的 CEO) 的 Space X Falcon-9 火箭上的第一颗卫星（总共 8 颗）的发射。SpaceQuest 已将 BEOS 混合 SovereignSky 区块链成功上传到 AprizeSat-5，并且已经完成了太空中的第一批区块链交易之一。区块链交易已于 12 月 13 日在 AprizeSat-5 卫星上被确认。[2020/1/13]

2.攻击者通过工厂合约部署USDC-WETH池子，池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址，可以看到这存在明显的中心化风险。

动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商（VASP）监测交易风险、执行反合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助，成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务，受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后，可在网站提交相关信息，平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统，采集链上交易数据，分析加密货币犯罪和安全事件，结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的Owner和Feeto地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。漏洞分析

Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题，在初始化时最大化授权了工厂合约中的Feeto地址，而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪

攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth，通过Anyswap跨链后转到以太坊地址和地址上，共获利约180万美元。截止发文时，BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签：EOSSINUSD虚拟资产eos币柚子已经确定跑路SIMPSONSINU价格TUSDB币虚拟资产交易是什么意思

世界币热门资讯