買比特幣 買比特幣
Ctrl+D 買比特幣
ads

SIN:Beosin:zkSync生態DEX Merlin安全事件分析_EOS

Author:

Time:1900/1/1 0:00:00

2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin安全團隊第一時間對事件進行了分析,結果如下。事件相關信息

我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程

Web3區塊鏈安全公司Beosin與阿里云達成戰略合作:金色財經報道,近日,Web3區塊鏈安全公司Beosin宣布與阿里云(Alibaba Cloud)達成戰略合作,為Web3客戶提供一站式的安全與合規解決方案。同時,Beosin的智能合約審計服務、鏈平臺檢測服務、安全咨詢和應急響應服務已正式上線阿里云市場。[2023/4/25 14:25:07]

1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Beosin:UVT項目被黑客攻擊事件簡析,被盜資金已全部轉入Tornado Cash:金色財經報道,據Beosin EagleEye 安全預警與監控平臺檢測顯示,UVT項目被黑客攻擊,涉及金額為150萬美元。攻擊交易為0x54121ed538f27ffee2dbb232f9d9be33e39fdaf34adf993e5e019c00f6afd499

經Beosin安全團隊分析,發現攻擊者首先利用開發者部署的另一個合約的具有Controller權限的0xc81daf6e方法,該方法會調用被攻擊合約的0x7e39d2f8方法,因為合約具有Controller權限,所以通過驗證直接轉走了被攻擊合約的所有UVT代幣,Beosin安全團隊通過Beosin Trace進行追蹤,發現被盜資金已全部轉入Tornado Cash。[2022/10/27 11:48:46]

REV智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Justswap上的明星項目,REV團隊釋放出REV智能合約審計報告,由Beosin(成都鏈安)安全審計完成。

據了解,REV(Revolution Token)是基于區塊鏈的新型社會實驗型代幣。其獨特之處在于內嵌了交易燃燒、尾單博弈、持幣分紅三種獨特的創新機制。

REV技術介紹:智能合約的整體設計清晰,邏輯縝密,代碼安全靠譜,從性能和功能上完全具備了區塊鏈頂級去中心化金融項目的一切條件。合約地址(認準唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。詳情點擊原文鏈接。[2020/9/16]

2.攻擊者通過工廠合約部署USDC-WETH池子,池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址,可以看到這存在明顯的中心化風險。

動態 | Beosin預警:cubecontract遭受攻擊 攻擊者已獲利:Beosin(成都鏈安)預警,今天下午14:46-14:51之間,根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,黑客justjiezhan1向EOS競猜類游戲cubecontract發起攻擊且已經獲利。在此之前,黑客justjiezhan1已于12:00:41左右開始部署攻擊合約,成都鏈安安全分析人員初步分析認為攻擊者仍然與之前的攻擊手法相同,為交易阻塞攻擊。在此我們建議游戲合約開發者應該重視游戲邏輯嚴謹性及代碼安全性,同時呼吁游戲項目方在項目上鏈前進行完善的代碼安全審計,必要時可借助第三方專業審計團隊的力量防患于未然。[2019/3/18]

3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。

4.值得注意的是,在攻擊發生之前,工廠合約的Owner和Feeto地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。漏洞分析

Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題,在初始化時最大化授權了工廠合約中的Feeto地址,而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤

攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth,通過Anyswap跨鏈后轉到以太坊地址和地址上,共獲利約180萬美元。截止發文時,BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件,Beosin安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags:EOSSINREVUSDWeosSINSrevv幣價格usdt幣好賣嗎

SHIB最新價格
加密貨幣:盤點DWF Labs近一個月投資的14個項目_加密貨幣市場規模排名

高調投資加上丑聞纏身,讓DWFLabs近期關注度飆升。DWFLabs作為全球數字資產做市商和多階段Web3投資公司,在新加坡、瑞士、英屬維爾京群島、阿拉伯聯合酋長國、韓國和香港設有辦事處;同時還.

1900/1/1 0:00:00
CEB:區塊鏈社交“無社交”_EOS

社交向來是全體人類的核心需求之一,也是互聯網領域最受關注的方向之一。隨著傳統互聯網社交產品受到越來越多的指責,一眾區塊鏈社交產品相繼應運而生.

1900/1/1 0:00:00
SHK:一文讀懂HashKey Group生態積分HSK的權益和分配機制_hashpower

HashKeyGroup在香港2023Web3Festival大會期間公布了發行生態積分HSK的計劃.

1900/1/1 0:00:00
BIT:Bitget Research每周要聞:LayerZero融資引發刷空投熱潮,上海升級使LSD賽道跑贏大盤_BTC

過去一周,市場出現了不少新的熱門幣種和話題。1.市場焦點MarketTrends本周(04.03-04.07)市場最關注的焦點話題為:LayerZero融資引發交互熱潮,NFT市場聚焦Vesse.

1900/1/1 0:00:00
PENDLE:Mint Ventures:深度解析LSD利率市場服務商Pendle_pendle幣發行價

1.研究要點 1.1核心投資邏輯 隨著LSD敘事的深入,基于LSD發展更復雜的DeFi工具、關注和推演債券市場敘事的呼聲逐漸大了起來.

1900/1/1 0:00:00
ACU:社區驅動型交易所的力量與實踐 |鏈捕手_Serum

相比一般常見交易所,社區型交易所的核心要務在于,交易所應當將全體用戶視為共建者而不是單純的客戶,不僅要全心全意為用戶提供需要的服務,還要將自身長期發展的利益與用戶適當共享.

1900/1/1 0:00:00
ads