Cointime

扫码下载App
iOS & Android

获利约180万美元,zkSync生态DEX Merlin安全事件分析

媒体

原文来源:Foresightnews

2023 年 4 月 26 日,据 Beosin-Eagle Eye 态势感知平台消息,Merlin Dex 发生安全事件,USDC-WETH 流动性池的资金已全部被提取,攻击者获利共约 180 万美金。据了解,Merlin Dex 是一个去中心化交易所,关于本次安全事件,Beosin 安全团队第一时间对事件进行了分析,结果如下。

事件相关信息

我们以其中一笔交易为例进行分析

攻击交易

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

攻击者地址

0xc0D6987d10430292A3ca994dd7A31E461eb28182

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

被攻击合约

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e(USDC-WETH 池子)

攻击流程

1. 第一步,池子创建者 (0xc0D6987d10430292A3ca994dd7A31E461eb28182) 创建了工厂合约

(0x63E6fdAdb86Ea26f917496bEEEAEa4efb319229F),在初始化时 Feeto 地址已经被设为

(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2. 攻击者通过工厂合约部署 USDC-WETH 池子(0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e),池子初始化时便将池子中的 USDC 和 WETH 最大化授权给了合约工厂的 Feeto 地址,可以看到这存在明显的中心化风险。

3. 于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。

4. 值得注意的是,在攻击发生之前,工厂合约的 Owner 和 Feeto 地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到 USDC-WETH 流动性池的资金已全部被提取,攻击者获利共约 180 万美金。

漏洞分析

Beosin 安全团队分析本次攻击主要利用了 pair 合约的中心化问题,在初始化时最大化授权了工厂合约中的 Feeto 地址,而导致池子中的资金随时可能被初始化时设定的 Feeto 地址提取走。

资金追踪

攻击者调用了 transferFrom 函数从池子转出了 811K 的 USDC 给攻击者地址 1(0x2744d62a1e9ab975f4d77fe52e16206464ea79b7)。攻击者地址 2(0xcE4ee0E01bb729C1c5d6D2327BB0F036fA2cE7E2)从 token1 合约(WETH)提取了 435.2 的 eth,通过 Anyswap 跨链后转到以太坊地址(0xa7D481944730a88B862eB57248Cb1B2C8aa358Ad)和地址

(0x0b8a3ef6307049aa0ff215720ab1fc885007393d)上,共获利约 180 万美元。

截止发文时,Beosin KYT 反洗钱分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin 安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件,Beosin 安全团队建议,项目方应该使用多签钱包或 DAO 治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。

来源:https://www.theblockbeats.info/news/36817

DAO
评论

所有评论

推荐阅读

  • 新罕布什尔州将就1亿美元比特币支持债券提案举行公开听证会

    据The Block报道,美国新罕布什尔州官员将于周三就一项发行最高1亿美元比特币支持债券的提案举行公开听证会。该提案最终仍需获得州长凯利·阿约特(Kelly Ayotte)及执行委员会的批准方可落地。

  • Kraken过去24小时流出2108枚BTC

    据数据监测,Kraken交易所出现大额资金流动。过去24小时,该交易所钱包流出2108枚BTC,价值2.11亿美元,当前其BTC钱包余额为14.59万枚BTC。

  • 特朗普结束停火发言后 欧洲央行加息预期升温

    7月8日讯,市场定价显示,欧洲央行今年进一步收紧货币政策的预期升至36个基点,高于周二的25个基点,此前特朗普发表停火结束言论。(金十)

  • BTC跌破62000美元

    行情显示,BTC跌破62000美元,现报61984.58美元,24小时跌幅达到1.82%,行情波动较大,请做好风险控制。

  • 现货白银日内跌幅达3.00%

    现货白银日内跌幅达3.00%,现报58.18美元/盎司。

  • 油气股盘前普涨 埃克森美孚涨超2% 美伊冲突再起国际油价大涨

    7月8日消息,美股油气股盘前普涨,埃克森美孚、戴文能源涨超2%,西方石油、雪佛龙、康菲石油涨超1%。今年以来,西方石油、威廉姆斯年内涨幅均超26%,埃克森美孚累涨近20%,雪佛龙、康菲石油、戴文能源年内累涨约16%~17%。 消息面上,美国总统特朗普8日在北约峰会上说,他认为美伊谅解备忘录“已终结”。此前美国已撤销一项授权允许伊朗石油销售的通用许可,恢复对伊朗石油制裁。有官员称此次对伊朗的打击行动是“惩罚性行动”,短时间内不会结束。地缘冲突硝烟再起刺激国际油价大涨,美、布两油日内均涨超5%。 此外,埃克森美孚发布业绩预告。公司表示,第二季度原油市场大涨带来37亿美元的上游利润增量,炼油与化工业务贡献33亿美元的额外收益。但埃克森美孚指出,上述利好因素部分被中东地区生产中断所造成的约12亿美元损失所抵消。该公司将于7月31日正式发布完整财报。

  • 特朗普称美伊临时停火协议已结束

    7月8日,美国总统特朗普表示,他与伊朗达成的临时停火协议已经结束,这加剧了两国之间军事冲突再度爆发的可能性。“对我来说,我认为已经结束了。”他周三在北约年度峰会上表示,“就我而言,这只是在浪费时间。”特朗普发表此番言论前不久,美国对伊朗发动了新一波打击,并撤销了允许销售伊朗石油的豁免。这些行动是对近期霍尔木兹海峡船只遇袭事件的回应,给能源市场带来了新的波动,并考验了美伊之间本已脆弱的和平协议。特朗普表示:“我不想和他们打交道,但他们是渣滓。你知道渣滓是什么吗?他们就是渣滓。他们是病态的人,由病态的人领导,他们是凶狠暴力的人,如果他们拥有核武器,他们就会使用。”不过,特朗普表示他不会阻止谈判代表继续接触,尽管他对这一策略表示悲观。他说:“他们有问题,他们疯了。他们可以谈,但我认为他们是在浪费时间。”

  • 美、布两油日内均涨超3%

    美、布两油日内均涨超3%,现分别报74.18美元/桶和78.08美元/桶。(金十)

  • BTC跌破62000美元

    行情显示,BTC跌破62000美元,现报61973.88美元,24小时跌幅达到1.7%,行情波动较大,请做好风险控制。

  • 特朗普认为美伊谅解备忘录已终结

    7月8日讯,美国总统特朗普8日在北约峰会上说,他认为美伊谅解备忘录“已终结”。(新华社)