原文来源:Beosin
2023?年?4?月?26?日,据?Beosin-EagleEye?态势感知平台消息,MerlinDex?发生安全事件,USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin?安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
我们以其中一笔交易为例进行分析
攻击交易
Beosin:Themis Protocol被攻击事件分析:据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年6月28日DeFi借贷协议Themis Protocol遭到攻击,攻击者获利约37万美元,Beosin Trace追踪发现已有130,471个USDC、58,824个USDT和94个ETH被盗,目前,被盗资金被转移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻击的原因在于预言机实现存在问题,导致预言机被操纵。
攻击交易为:0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻击的核心是攻击者在借款前,用大量WETH兑换wstETH,使得预言机获取价格时被操纵,导致攻击者仅用55WETH借出317WETH。
如图,在getAssetPrice函数调用Balancer: Vault.getPoolTokens函数时,wstETH与ETH数量从正常的2,423 : 2,796被操纵为0.238 : 42,520.从而操纵了预言机。[2023/6/28 22:05:01]
0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
攻击者地址
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
0xc0D6987d10430292A3ca994dd7A31E461eb28182
0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
被攻击合约
0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e
攻击流程
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
2.攻击者通过工厂合约部署?USDC-WETH?池子,池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址,可以看到这存在明显的中心化风险。
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的?Owner?和?Feeto?地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到?USDC-WETH?流动性池的资金已全部被提取,攻击者获利共约?180?万美金。
漏洞分析
Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题,在初始化时最大化授权了工厂合约中的?Feeto?地址,而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。
资金追踪
攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth,通过?Anyswap?跨链后转到以太坊地址和地址上,共获利约?180?万美元。
截止发文时,BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin?安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin?安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
标签:EOSSINUSDETHEOSDTSint-Truidense Voetbalvereniging Fan TokenASUSD币EtherCare
21:00-7:00关键词:Voyager、ChatGPT、5月加息、币印1.Voyager收到Binance.US终止资产购买协议;2.美国两名前众议员将领导新的比特币政策小组;3.
1900/1/1 0:00:00故事亮点比特币价格反弹良好,目标是达到28,800美元的关键阻力位,以保持看涨势头。在市场参与者等待看涨推动的同时,牛市陷阱的可能性也浮出水面。在受到几天的看跌影响后,加密货币市场已经开始复苏.
1900/1/1 0:00:00尊敬的唯客用户您好!为了提升服务质量,进一步优化您的交易体验,唯客预计于2023年04月26日05:30-06:00将进行数据库引擎升级之优化;优化升级范围如下:升级时间2023年04月26日0.
1900/1/1 0:00:00原文作者:?山&耀技术的Web3正在驱动下一代技术革命,越来越多的人开始参与到这场加密浪潮中,但Web3与Web2是两个截然不同的世界.
1900/1/1 0:00:00瑞波币,又称XRP币,是由OpenCoin公司发行的虚拟货币,称作RippleCredits。瑞波币是当前市值排名第6的加密货币,是除了比特币、以太坊外受欢迎的虚拟币之一.
1900/1/1 0:00:00ForesightNews消息,面向模块化区块链的跨链流动性协议Catalyst完成420万美元种子轮融资,SpartanGroup领投.
1900/1/1 0:00:00