2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。據了解,MerlinDex是一個去中心化交易所,關于本次安全事件,Beosin安全團隊第一時間對事件進行了分析,結果如下。事件相關信息
我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程
Beosin:穩定幣協議Steadifi遭到攻擊損失約114萬美元:金色財經報道,據Beosin EagleEye監測發現,穩定幣協議Steadifi遭到攻擊,攻擊者獲取了協議部署錢包的控制權。攻擊者已將所有金庫(借貸和策略)投資組合的所有權轉移至自己控制的錢包(0x9cf71F2ff126B9743319B60d2D873F0E508810dc),目前,攻擊者已在Arbitrum和Avalanche上耗盡了所有可借出資金,并通過跨鏈橋將資產兌換成以太幣轉移到以太坊主網,被盜資金約1,140,000美元。
Steadifi正與攻擊者進行談判,提供10%的賞金以換回剩余90%的被盜資產。[2023/8/8 21:31:18]
1.第一步,池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約,在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
Beosin:BASE鏈上LeetSwap中axlUSD/WETH池子遭遇價格操控攻擊分析:金色財經報道,Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,BASE鏈上LeetSwap中axlUSD/WETH遭遇價格操控攻擊,損失金額約62萬美元。經Beosin分析攻擊的主要原因是:攻擊主要利用了pair合約中的_transferFeesSupportingTaxTokens函數,它允許任意人使用函數讓pair合約中的axlUSD轉移,導致代幣價格上升,攻擊者可以賣出代幣進行獲利。[2023/8/1 16:11:02]
Beosin:Polygon鏈上Atlantis Loans協議再度發起惡意提案:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上Atlantis Loans協議再度發起惡意提案,提案ID:18。事前2023年6月11日Atlantis Loans協議曾經因惡意提案篡改管理合約權限,替換后門合約,導致協議損失250W美元。Beosin提醒相關用戶盡快移除相關授權,防止資產損失。[2023/7/14 10:55:03]
2.攻擊者通過工廠合約部署USDC-WETH池子,池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址,可以看到這存在明顯的中心化風險。
Beosin:BNBChain上THB項目遭受攻擊事件分析:10月1日消息,據Beosin EagleEye平臺監測顯示,THB項目遭受攻擊。Beosin安全團隊分析發現攻擊者0xbC62b9BA570aD783d21E5eB006F3665D3f6bBA93利用重入漏洞盜取THBR NFT,攻擊合約0xfed1b640633fd0a4d77315d229918ab1f6e612f9,攻擊交易0x57aa9c85e03eb25ac5d94f15f22b3ba3ab2ef60b603b97ae76f855072ea9e3a0
目前盜取的8個NFT任在攻擊者賬戶(0xfeD1...12f9)。[2022/10/1 18:36:58]
3.于是在有了最大授權的情況下,攻擊者轉走了該池子中的所有代幣。
4.值得注意的是,在攻擊發生之前,工廠合約的Owner和Feeto地址曾有過改動,但這一步并不是攻擊所必須的,猜測可能是攻擊者為了迷惑他人所做的操作。
最后可以看到USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金。漏洞分析
Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題,在初始化時最大化授權了工廠合約中的Feeto地址,而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤
攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth,通過Anyswap跨鏈后轉到以太坊地址和地址上,共獲利約180萬美元。截止發文時,BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,Beosin安全團隊將持續對被盜資金進行監追蹤。
總結
針對本次事件,Beosin安全團隊建議,項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址,用戶在進行項目交互時也要多多了解此項目是否涉及風險。
備受期待的Shanghai/Capella硬分叉計劃已于今早進行,質押的ETH可以被提取。本文站在質押者角度,評估了解鎖可能產生的潛在拋售壓力,并討論了在Shanghai升級后可能立即提取和出售.
1900/1/1 0:00:00概要 ●2023年第一季度,惡意行為者從Web3.0協議中盜取了超過3.2億美元的價值。●這個數字約為2022年第四季度9.5億美元資產損失的的三分之一,約為2022年第一季度13億美元資產損失.
1900/1/1 0:00:00誰能想到,在短短幾天里,募集了921個ETH被社區極度看好的新項目因合約寫錯導致資產被鎖死,募集了300個ETH的項目直接RUG.
1900/1/1 0:00:00近48小時來,Ordinals在加密世界中引起了廣泛關注。在OKX宣布其鏈上錢包開始支持Ordinals之后,幣安緊接著發布了“Ordinals,madesimple”這篇推文.
1900/1/1 0:00:00HOPE是基于加密原生分布式穩定幣$HOPE打造的一站式DeFi生態系統,旨在為每個人提供無障礙、公開透明的下一代金融基礎設施和服務.
1900/1/1 0:00:00近日,中心化社交圖譜協議CyberConnect鏈上數據的激增,吸引了一大批注意力。這個早在2021年就推出的項目,為何在今年的3月、4月份期間關注熱度直線上升?其實,CyberConnect數.
1900/1/1 0:00:00