原文來源:Beosin
2023?年?4?月?26?日,據?Beosin-EagleEye?態勢感知平臺消息,MerlinDex?發生安全事件,USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin?安全團隊第一時間對事件進行了分析,結果如下。
事件相關信息
我們以其中一筆交易為例進行分析
攻擊交易
Beosin:JPEG'd 遭受攻擊原因為重入攻擊:金色財經報道,據Beosin安全團隊分析,JPEG'd 項目遭遇攻擊的根本原因在于重入,攻擊者在調用remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性,由于余額更新在重入進add_liquidity函數之前,導致價格計算出現錯誤。
此前報道,JPEG'd項目遭遇攻擊,損失至少約1000萬美元。[2023/7/31 16:07:53]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
Beosin:Palmswap被攻擊是因為添加和刪除流動性的計算方法有問題:7月25日消息,Beosin Alert發推稱,Palmswap被攻擊是因為添加和刪除流動性的計算方法有問題,當攻擊者添加流動資金時,USDP和PLP之間的匯率為 1:1。 然而,當移除相同數額的PLP時,攻擊者能夠將其兌換為1.9 倍的USDP,從而獲利。
此前消息,Palmswap遭攻擊,損失超90萬美元。[2023/7/25 15:56:43]
攻擊者地址
0xc0D6987d10430292A3ca994dd7A31E461eb28182
Beosin:civfund的ETH合約遭到攻擊,損失18萬美元:金色財經報道,據Beosin監測,civfund的ETH合約遭到攻擊,損失18萬美元。受害者合約0x7CAEC5E4a3906d0919895d113F7Ed9b3a0cbf826不是開源的。攻擊者調用uniswapV3MintCallback來轉移其他用戶批準的資金。請盡快撤銷對受攻擊合約的批準。[2023/7/8 22:25:30]
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
被攻擊合約
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻擊流程
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻擊者通過工廠合約部署?USDC-WETH?池子,池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址,可以看到這存在明顯的中心化風險。
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的?Owner?和?Feeto?地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。
漏洞分析
Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題,在初始化時最大化授權了工廠合約中的?Feeto?地址,而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。
資金追蹤
攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth,通過?Anyswap?跨鏈后轉到以太坊地址和地址上,共獲利約?180?萬美元。
截止發文時,BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin?安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin?安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
這是一般性公告,此處提及的產品和服務可能不適用于您所在的地區。親愛的用戶:雙幣投資現已上線新一批不同交割日和行使價格的雙幣投資產品,用戶可認購低買或高賣產品.
1900/1/1 0:00:00隨著比特幣的魅力開始消退,一種古老的資產正在吸引現代投資者的注意力。4月24日,《華爾街日報》發表了一篇由市場記者HardikaSingh撰寫的文章,題為“隨著加密貨幣投資者追逐世界上最古老的資.
1900/1/1 0:00:00故事亮點比特幣價格反彈良好,目標是達到28,800美元的關鍵阻力位,以保持看漲勢頭。在市場參與者等待看漲推動的同時,牛市陷阱的可能性也浮出水面。在受到幾天的看跌影響后,加密貨幣市場已經開始復蘇.
1900/1/1 0:00:00在傳統市場中存在數萬億美元的資金,機構投資者已經開始關注加密貨幣的高收益潛力和不斷發展的生態系統,并通過開發符合經濟數據的策略來規劃他們的資產配置計劃.
1900/1/1 0:00:00中本聰時代的比特幣鯨魚在12年沒有交易后移動了400BTC,價值約1100萬美元。周一的走勢顯示,鯨魚將360個比特幣轉移到一個錢包,將另外40個比特幣轉移到其他多個位置.
1900/1/1 0:00:00各位朋友,歡迎來到SignalPlus宏觀點評。SignalPlus宏觀點評每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00