Beosin：zkSync生态DEX Merlin安全事件分析

2023年4月26日，据Beosin-EagleEye态势感知平台消息，MerlinDex发生安全事件，USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin安全团队第一时间对事件进行了分析，结果如下。事件相关信息

我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程

Beosin：KyberSwap黑客转移部分被盗资产，约11.2万美元:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，截止北京时间11月20日20点 , KyberSwap黑客转移部分被盗资产，从0xA3740合约地址将130222 Matic转移到0xe39aa21842017ade7f803451f77cdb391ce1acb6，约11.2万美元，Beosin Trace正持续对该黑地址进行监控。[2022/11/20 22:09:47]

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Beosin：BSC链上的gala.games项目遭受攻击事件简析:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，BSC链上的gala.games项目遭受攻击，Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens（GALA） 代币增发，累计增发55,628,400,000枚pTokens（GALA），攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB，攻击者（0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1）累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。

第一笔攻击交易：0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e

第二笔攻击交易：0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]

Beosin：10月区块链生态安全事件损失总金额约9亿8104万美元:金色财经报道，据 Beosin EagleEye 安全预警与监控平台监测显示，2022 年 10 月，各类安全事件数量和涉及金额较 9 月大幅上升。10 月发生较典型安全事件超 25 起，其中攻击类安全事件损失总金额约 9.8104 亿美元，约为 9 月损失金额的 5.97 倍。10 月为 2022 年以来区块链领域损失金额最高的一个月，有 60% 的攻击事件来自合约漏洞利用。[2022/10/31 12:01:06]

2.攻击者通过工厂合约部署USDC-WETH池子，池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址，可以看到这存在明显的中心化风险。

声音 | Beosin（成都链安）预警：某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，今日上午 8:53:15开始，黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在，该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作，在收到安全公司的安全提醒之后第一时间排查项目安全性，才能及时止损，同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/4/3]

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的Owner和Feeto地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。漏洞分析

Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题，在初始化时最大化授权了工厂合约中的Feeto地址，而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪

攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth，通过Anyswap跨链后转到以太坊地址和地址上，共获利约180万美元。截止发文时，BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签：EOSSINGALAEYEEOSevenSINS币SAFEGALAXY 币skeyer

以太坊价格热门资讯