2023年4月26日,据Beosin-EagleEye态势感知平台消息,MerlinDex发生安全事件,USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin安全团队第一时间对事件进行了分析,结果如下。事件相关信息
我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程
a16z创始合伙人Chris Dixon取关Jack Dorsey:金色财经报道,就在Jack Dorsey五天前取消了对Chris Dixon的关注之后,这位a16z创始合伙人今天也在社交媒体上取消了对Jack Dorsey的关注。此外,Chris Dixon还提出在区块链之上构建社交网络需要三个关键要点,分别是:1、低交易费用(存储和计算);2、较短的确认时间;3、富有表现力的编程语言。[2022/5/18 3:25:14]
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
即将离职的a16z合伙人Katie Haun寻求为加密投资基金筹集9亿美元:1月7日消息,据英国《金融时报》报道,即将成为Andreesen Horowtiz(a16z)前合伙人的Katie Haun(Kathryn Haun)正寻求在离职后为两只加密投资基金筹集至少9亿美元的资金。
知情人士称,Haun的目标是为一只针对加密初创公司的早期投资基金筹集3亿美元,为一只专注于大型公司和数字代币的基金筹集6亿美元。
在上个月宣布将离开a16z后,Haun表示将创办自己的风险投资公司“KRH”。2022年1月,NFT市场Opensea以133亿美元投后估值完成3亿美元融资,KRH参投。(CoinDesk)[2022/1/7 8:32:41]
a16z合伙人Chris Dixon:NFT正经历比特币早期阶段发生的事:金色财经报道,a16z合伙人Chris Dixon在推特上发文称,NFT现在正经历比特币早期阶段发生的事,在早期比特币时代 ,怀疑论者提出了大量质疑和复杂理论,但结果,比特币早期采用者看到了产品价值,并相信价值会随着时间的推移而不断增加。今天,NFT也在发生同样的事情。如果你不喜欢NFT,那也没关系,简单来说,你其实和其他99%的大多数人一样,而他们并不是NFT和比特币的早期采用者。Chris Dixon说:“就个人而言,我对数字收藏品的兴趣是对线下收藏品兴趣的100倍,我收集过域名,而且早在四年前就购买了加密猫涉足NFT市场。”[2021/12/3 12:47:55]
2.攻击者通过工厂合约部署USDC-WETH池子,池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址,可以看到这存在明显的中心化风险。
a16z宣布成立22亿美元的第三只加密货币基金:AndreessenHorowitz(a16z)宣布成立一只22亿美元的加密货币基金。目前该风险投资巨头已通过两只早期基金管理8.65亿美元的资金,其加密资产资管规模(AUM)已超过30亿美元。(福布斯)[2021/6/24 0:03:41]
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的Owner和Feeto地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。漏洞分析
Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题,在初始化时最大化授权了工厂合约中的Feeto地址,而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪
攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth,通过Anyswap跨链后转到以太坊地址和地址上,共获利约180万美元。截止发文时,BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。