買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > BNB > Info

EOS:Beosin:zkSync生態DEX Merlin安全事件分析_ETO

Author:

Time:1900/1/1 0:00:00

原文來源:Beosin

2023?年?4?月?26?日,據?Beosin-EagleEye?態勢感知平臺消息,MerlinDex?發生安全事件,USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin?安全團隊第一時間對事件進行了分析,結果如下。

事件相關信息

我們以其中一筆交易為例進行分析

攻擊交易

Beosin:KyberSwap黑客轉移部分被盜資產,約11.2萬美元:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,截止北京時間11月20日20點 , KyberSwap黑客轉移部分被盜資產,從0xA3740合約地址將130222 Matic轉移到0xe39aa21842017ade7f803451f77cdb391ce1acb6,約11.2萬美元,Beosin Trace正持續對該黑地址進行監控。[2022/11/20 22:09:47]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

Beosin:BSC鏈上的gala.games項目遭受攻擊事件簡析:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,BSC鏈上的gala.games項目遭受攻擊,Beosin分析發現由于pNetwork項目的bridge配置錯誤導致pTokens(GALA) 代幣增發,累計增發55,628,400,000枚pTokens(GALA),攻擊者已經把部分pTokens(GALA) 兌換成12,976個BNB,攻擊者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累計獲利約434萬美元。Beosin Trace追蹤發現被盜金額還存在攻擊者地址中。

第一筆攻擊交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二筆攻擊交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

攻擊者地址

Beosin已完成對永久通縮協議Mimosa代碼審計:12月28日消息。據官方通告,區塊鏈安全公司Beosin(LianAnTech)宣布已完成對永久通縮協議Mimosa的審計工作,審計項包括協議安全性評估、代碼漏洞審查等,確認了MIMO在以太坊鏈上傳輸,通過扣除轉賬手續費的形式進行代幣銷毀,手續費比例可在有效范圍0-100%內修改,當手續費比例為100%時轉賬數量全部銷毀;目前手續費為默認5%。[2020/12/28 15:54:14]

0xc0D6987d10430292A3ca994dd7A31E461eb28182

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

被攻擊合約

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻擊流程

1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時?Feeto?地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻擊者通過工廠合約部署?USDC-WETH?池子,池子初始化時便將池子中的?USDC?和?WETH?最大化授權給了合約工廠的?Feeto?地址,可以看到這存在明顯的中心化風險。

3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。

4.值得注意的是,在攻擊發生之前,工廠合約的?Owner?和?Feeto?地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流動性池的資金已全部被提取,攻擊者獲利共約?180?萬美金。

漏洞分析

Beosin?安全團隊分析本次攻擊主要利用了pair?合約的中心化問題,在初始化時最大化授權了工廠合約中的?Feeto?地址,而導致池子中的資金隨時可能被初始化時設定的?Feeto?地址提取走。

資金追蹤

攻擊者調用了?transferFrom?函數從池子轉出了?811?K?的?USDC?給攻擊者地址?1?。攻擊者地址?2?從?token?1?合約提取了?435.2?的?eth,通過?Anyswap?跨鏈后轉到以太坊地址和地址上,共獲利約?180?萬美元。

截止發文時,BeosinKYT?反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin?安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件,Beosin?安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags:EOSSINSDCETOEOST幣sinoc幣官網cusdc幣是什么bhtetoken

BNB
數字藝術:與Chris Olsen談DCT社區:數字經濟中的機遇和挑戰_區塊鏈

作為DCT社區和DriveCapital的創始人之一,ChrisOlsen在數字貨幣領域有著廣泛的影響力和聲譽.

1900/1/1 0:00:00
USDT:BTC價格持平于27000美元附近—什么可以觸發下一步行動?_BTCPAY價格

在BTC價格下跌10%后,比特幣將在未來一周面臨新一輪的潛在波動催化劑。比特幣(BTC)在談到價格軌跡時讓每個人都保持警惕——它下一步會走向何方?BTC價格在糟糕的一周后下跌10%在BTC/US.

1900/1/1 0:00:00
RAN:OrangeFinance:可對沖Uniswap V3的流動性管理工具_ORANGE

原文作者:hangry?原文編譯:Kxp,BlockBeats最近隨著UniswapV3許可證的到期,焦點已經轉向新的CLAMM以及簡化LP體驗的項目.

1900/1/1 0:00:00
BIT:Bitfinex to List Bitget Token (BGB)_NEX

We''repleasedtoannouncethatBitfinexwilllisttheBitgetToken(BGB).

1900/1/1 0:00:00
SUI:歐易 Web3 錢包關于接入 Sui Network 的公告_okex官方最新版

尊敬的歐易用戶:?為支持新公鏈發展和促進多鏈生態繁榮,歐易Web3錢包將于SuiNetwork主網正式上線后24小時內,率先完成接入!屆時.

1900/1/1 0:00:00
SDC:以太坊 [ETH] 顯示有可能反彈,但多頭并不完全活躍_TUSDB幣

4小時結構和需求不足表明ETH可能會進一步下跌。如果遇到阻力的強烈拒絕,空頭可以留意機會。從4月16日到4月25日,以太坊損失了15.8%.

1900/1/1 0:00:00
ads