2023年4月26日,据Beosin-EagleEye态势感知平台消息,MerlinDex发生安全事件,USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin安全团队第一时间对事件进行了分析,结果如下。事件相关信息
我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程
Beosin:稳定币协议Steadifi遭到攻击损失约114万美元:金色财经报道,据Beosin EagleEye监测发现,稳定币协议Steadifi遭到攻击,攻击者获取了协议部署钱包的控制权。攻击者已将所有金库(借贷和策略)投资组合的所有权转移至自己控制的钱包(0x9cf71F2ff126B9743319B60d2D873F0E508810dc),目前,攻击者已在Arbitrum和Avalanche上耗尽了所有可借出资金,并通过跨链桥将资产兑换成以太币转移到以太坊主网,被盗资金约1,140,000美元。
Steadifi正与攻击者进行谈判,提供10%的赏金以换回剩余90%的被盗资产。[2023/8/8 21:31:18]
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Beosin:Euler Finance攻击者转移约188万美元资金:3月17日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年3月16日,Euler Finance攻击者将1000个ETH和100个ETH分别转到0xc66dfa84bc1b93df194bd964a41282da65d73c9a(Euler Finance Exploiter 4)和0x098b716b8aaf21512996dc57eb0615e2383e2f96(Ronin Bridge Exploiter
)。
此前消息,2023年3月13日,DeFi借贷协议Euler Finance遭受攻击,损失近2亿美元。[2023/3/17 13:10:18]
Beosin:sDAO项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin?EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的sDAO项目遭受漏洞攻击,Beosin分析发现由于sDAO合约的业务逻辑错误导致,getReward函数是根据合约拥有的LP代币和用户添加的LP代币作为参数来计算的,计算的奖励与用户添加LP代币数量正相关,与合约拥有总LP代币数量负相关,但合约提供了一个withdrawTeam的方法,可以将合约拥有的BNB以及指定代币全部发送给合约指定地址,该函数任何人都可调用。而本次攻击者向其中添加了LP代币之后,调用withdrawTeam函数将LP代币全部发送给了指定地址,并立刻又向合约转了一个极小数量的LP代币,导致攻击者在随后调用getReward获取奖励的时候,使用的合约拥有总LP代币数量是一个极小的值,使得奖励异常放大。最终攻击者通过该漏洞获得的奖励兑换为13662枚BUSD离场。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/21 7:53:09]
2.攻击者通过工厂合约部署USDC-WETH池子,池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址,可以看到这存在明显的中心化风险。
动态 | Beosin预警:持续警惕hardfail状态攻击 ?:Beosin(成都链安)预警,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,目前仍有不少攻击者尝试使用hard_fail 状态攻击,攻击测试目标已由交易所转向各类游戏合约,截止9号晚间10点,攻击者****wge在持续攻击中尝试混合使用正常转账交易和hardfail失败交易,在两次交易中设置同样的memo,如果项目方从节点获取交易数据时没有做好完整的交易判断,可能会因此造成损失,这种攻击尝试虽然简单但仍可能造成危害,Beosin(成都链安)提醒各项目方做好自检自查,对交易执行状态进行校验,避免不必要的损失。[2019/4/9]
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的Owner和Feeto地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。漏洞分析
Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题,在初始化时最大化授权了工厂合约中的Feeto地址,而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪
攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth,通过Anyswap跨链后转到以太坊地址和地址上,共获利约180万美元。截止发文时,BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。