2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin安全團隊第一時間對事件進行了分析,結果如下。事件相關信息
我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程
Beosin:BASE鏈上LeetSwap中axlUSD/WETH池子遭遇價格操控攻擊分析:金色財經報道,Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,BASE鏈上LeetSwap中axlUSD/WETH遭遇價格操控攻擊,損失金額約62萬美元。經Beosin分析攻擊的主要原因是:攻擊主要利用了pair合約中的_transferFeesSupportingTaxTokens函數,它允許任意人使用函數讓pair合約中的axlUSD轉移,導致代幣價格上升,攻擊者可以賣出代幣進行獲利。[2023/8/1 16:11:02]
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Beosin:jimbos protocol 項目疑似遭受攻擊,累計損失約750萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月28日,jimbos protocol項目疑似遭受攻擊,目前被盜資金已經通過跨鏈協議轉移到以太坊上的0x5f3開頭的地址,到目前該筆資金仍存放在該地址上。[2023/5/28 9:46:42]
Beosin:BSC上項目Swap-LP項目遭受攻擊,損失609個ETH,約100萬美元:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,2023年5月20日,BSC上項目Swap-LP項目遭受攻擊,攻擊者地址0xdEAd40082286F7e57a56D6e5EFE242b9AC83B137,累計獲利609個ETH,約100萬美元。資金仍在攻擊者地址。[2023/5/20 15:15:18]
2.攻擊者通過工廠合約部署USDC-WETH池子,池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址,可以看到這存在明顯的中心化風險。
Beosin:Ankr Staking遭遇私鑰泄露,目前Wombat池子被掏空:12月2日消息,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc,從而影響了pair(0x272c...880)中的WBNB和aBNBc的價格,而Wombat項目的WBNB和aBNBc兌換率約為1:1,導致存在套利空間。目前套利地址(0x20a..76f)共獲利約200萬美元,Beosin Trace將持續對被盜資金進行監控。[2022/12/2 21:17:42]
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的Owner和Feeto地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。漏洞分析
Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題,在初始化時最大化授權了工廠合約中的Feeto地址,而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤
攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth,通過Anyswap跨鏈后轉到以太坊地址和地址上,共獲利約180萬美元。截止發文時,BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
引言 GrayscaleEthereumTrust(ETHE)作為最大的美股上市交易的以太坊產品,持倉量高達300萬個ETH,然而目前其二級市場交易價格對比凈值存在近50%左右的折價.
1900/1/1 0:00:004月13日凌晨,關于已破產交易所FTX的故事出現了戲劇化的反轉。 周三,來自FTX代理律師事務所SullivanCromwell的律師AndyDietderich在特拉華州的法庭聽證會上表示,F.
1900/1/1 0:00:00這篇文章是三篇系列文章的第一篇,討論DeFi借貸協議的工作原理——它們的關鍵組成部分、公式和用例.
1900/1/1 0:00:00還記得去年下半年引爆整個幣圈的資金盤游戲FOMO3D嗎?就是這個游戲的開發團隊?TeamJust?,近期攜新作品Just.Game回歸了.
1900/1/1 0:00:00最近,新公鏈Berachain完成了4200萬美元的融資,PolychainCapital領投.
1900/1/1 0:00:00PEPE上幣安了。幣安宣布將在創新區上線Pepe,并將在北京時間今晚24:00開放PEPE/USDT、PEPE/TUSD交易對。消息宣布后,PEPE在過去1小時上漲超25%.
1900/1/1 0:00:00