原文来源:Beosin
2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
我们以其中一笔交易为例进行分析
攻击交易
Beosin:ETH链上SCO项目Rug Pull:金色财经报道,区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,ETH链上SCO项目Rug Pull,获利90ETH,约17万美元。[2023/7/21 15:50:12]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
攻击者地址
0xc0D6987d10430292A3ca994dd7A31E461eb28182
Beosin:Euler Finance攻击者转移约188万美元资金:3月17日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年3月16日,Euler Finance攻击者将1000个ETH和100个ETH分别转到0xc66dfa84bc1b93df194bd964a41282da65d73c9a(Euler Finance Exploiter 4)和0x098b716b8aaf21512996dc57eb0615e2383e2f96(Ronin Bridge Exploiter
)。
此前消息,2023年3月13日,DeFi借贷协议Euler Finance遭受攻击,损失近2亿美元。[2023/3/17 13:10:18]
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Beosin:TempleDAO项目遭受黑客攻击,涉及金额约236万美元:据Beosin EagleEye Web3安全预警与监控平台监测显示,TempleDAO项目遭受黑客攻击。因为在StaxLPStaking合约的migrateStake函数缺少权限校验,导致任意人都可以通过该函数提取合约中的StaxLP。
Beosin安全团队分析发现攻击者已把全部获得的StaxLP代币全部兑换为ETH,目前被盗资金已全部转移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:30]
被攻击合约
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻击流程
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。
漏洞分析
Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。
资金追踪
攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。
截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
标签:EOSSINETHSDCEOSCsinoc币价格能不能上涨togetherbnb手游下载最新中文版usdc币最新消息
GateLearn開展閱讀分享接力,了解加密貨幣的世界並輕鬆賺得豐厚獎勵!來打開加密貨幣世界的大門!点击进入Learn主页点击进入Course主页活動時間:2023年4月26日12:00-202.
1900/1/1 0:00:00周三亚洲早盘,比特币价格在过去24小时内小幅上涨3.4%,交易价格约为28,346美元。市值最高的数字资产正在重新测试上个月的阻力区。在此级别的拒绝可能导致头肩技术形态,导致未来几周进一步投降.
1900/1/1 0:00:00为了进一步优化用户体验,Gate.io量化跟单积极收集各方意见,今年以来,Gate.io针对合约网格做出了多次重大功能更新.
1900/1/1 0:00:00ForesightNews消息,由CypherCapital与AIAvatar公司BuzzAR发起的LBS社交图谱协议Dspace宣布完成100万美元融资,CypherCapital领投.
1900/1/1 0:00:001.关于非首发项目BearInu(BEAR)空投结果Gate.ioStartup非首发项目BearInu代币BEAR于Apr23rd,PM05:00开始下单,24小时内下单同等对待,总共有21.
1900/1/1 0:00:00以太坊价格下跌13%导致鲸鱼在五天内增持了价值18亿美元的ETH。Coinbase、Huobi和Kraken等中心化交易所的净流出量创下上海升级以来的最高水平.
1900/1/1 0:00:00
月亮链