原文来源:Beosin
2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
我们以其中一笔交易为例进行分析
攻击交易
V Ventures未能偿还Zipmex债权人100%债务:金色财经报道,Zipmex的救援投资者未能兑现其100%的承诺,V Ventures现在只想向Zipmex债权人偿还每一美元中10到20美分的债务,该公司最初承诺提供100%的付款。
此前报道,V Ventures最初于去年年底与Zipmex签署了一份价值1亿美元的协议,以换取其90%的股份。上个月,V Ventures未能向Zipmex支付价值125万美元的第四笔款项,导致该公司无法支付特定员工的工资,面临清算的风险。[2023/4/14 14:04:11]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
ETH 2.0总质押数已超1803.49万:金色财经报道,数据显示,ETH 2.0总质押数已超1803.49万,为18034918个,按当前市场价格,价值约333.64亿美元。此外,目前ETH 2.0质押总地址数已超57.99万,为579909个。[2023/4/9 13:53:11]
攻击者地址
0xc0D6987d10430292A3ca994dd7A31E461eb28182
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
美联储:全球央行将通过美元互换协议提高流动性:金色财经报道,美联储表示,为了提高美元互换额度提供美元资金的有效性,目前提供美元操作的央行已同意将7天到期操作的频率从每周增加到每天,操作时间的增加将于周一开始,并将至少持续到4月底。
美联储表示,美联储和英国、加拿大、日本、欧洲央行和瑞士央行宣布采取协调行动,通过美元流动性互换额度增加流动性供应。[2023/3/20 13:14:14]
被攻击合约
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻击流程
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。
漏洞分析
Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。
资金追踪
攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。
截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。