2023年4月26日,据Beosin-EagleEye态势感知平台消息,MerlinDex发生安全事件,USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin安全团队第一时间对事件进行了分析,结果如下。事件相关信息
我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程
去中心无线网项目World Mobile宣布WMT回购计划:6月23日消息,去中心化的移动网络项目World Mobile表示,将从公开市场买入WMT代币,以此来进行自己的回购计划。World Mobile致力于自己的DeWi技术,该项目旨在去中心化的无线网络,以此为落后地区提供负担得起的互联网接入。目前该项目已在肯尼亚、莫桑比克和尼日利亚完成实地测试。[2023/6/23 21:55:22]
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Ubisoft、LD Capital等投资P2E游戏Rebel Bots:1月19日消息,P2E游戏Rebel Bots发推称,其投资者包括Ubisoft、Overwolf、Makers Fund、LD Capital、Node Capital、Metavest Capital、Cointelligence、MVST:MG、Remagine Ventures、Blockchain Founders Fund。[2022/1/19 8:59:23]
Udun Cold T1企业级硬件冷钱包将于5月14日在官网发售:据官方消息,优盾钱包将于本月14日在官网发售企业级硬件冷钱包Udun Cold T1。此次Udun Cold T1硬件冷钱包的发售意味着,冷、温、热三种企业级钱包产品将构建起完善的优盾钱包服务板块,为企业用户提供更安全、更便捷、更强大的服务。
优盾钱包作为一家开放式企业级钱包解决方案,已支持33条公链和数千种代币,累计注册用户超5000个,每日出入金量超2000万美元,每月出入金量超6亿美元,1000多天无间断地为众多企业平台提供了安全、优质的数字资产管理服务。[2021/5/11 21:48:13]
2.攻击者通过工厂合约部署USDC-WETH池子,池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址,可以看到这存在明显的中心化风险。
SPDR Gold Trust 持仓较上日增加0.08%:全球最大黄金ETF--SPDR Gold Trust 持仓较上日增加0.08%或0.88吨,当前持仓量为1170.74吨。[2021/1/1 16:12:19]
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的Owner和Feeto地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。漏洞分析
Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题,在初始化时最大化授权了工厂合约中的Feeto地址,而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪
攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth,通过Anyswap跨链后转到以太坊地址和地址上,共获利约180万美元。截止发文时,BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。