Beosin：zkSync生态DEX Merlin安全事件分析

原文来源：Beosin

2023?年?4?月?26?日，据?Beosin-EagleEye?态势感知平台消息，MerlinDex?发生安全事件，USDC-WETH?流动性池的资金已全部被提取，攻击者获利共约?180?万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin?安全团队第一时间对事件进行了分析，结果如下。

事件相关信息

我们以其中一笔交易为例进行分析

攻击交易

乐队 Il-Chi将发行NFT作品“Beom Descending”:6月25日消息，乐队 Il-Chi将发行歌曲“Beom Descending”作为不可替代的代币（NFT）。据数字资产交易平台NFT Mania称，《Beom Coming Down》的NFT音源将在29日通过NFT Mania发布。（韩联社）[2021/6/25 0:05:49]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

LLE智能合约已通过Beosin(成都链安）的安全审计:据官方消息，Beosin（成都链安）今日已完成LLE智能合约项目的安全审计服务。

猎豹金融生态系统（Leopard lending ecology）是在以太坊区块链上的智能协议，以该协议为中心建立货币服务市场，服务市场是基于资产借贷需求，以计算得出利率。资产的供应商直接与协议进行交互，从而赚取浮动利率，而无需等待协商利率或抵押品等条款。

创始人Willians表示：我们LLE智能合约的整体设计清晰，逻辑缜密，代码安全可靠，具备了区块链上顶级去中心化金融项目条件之一。

合约地址：0xa1521aA6FE752195418ddbADB5A0c331608416B1；

审计报告编号：202009222010。[2020/9/24]

攻击者地址

tribeOS通过GRID平台完成证券型代币发行:广告科技公司tribeOS已通过GSX Group旗下的GRID平台完成了证券型代币发行。GSX Group首席执行官Nick Cowan强调，tribeOS是第一家使用该公司证券型代币平台GRID的公司，该公司同样欢迎其他希望“加快在资本领域采用区块链技术”的公司。（Cointelegraph）[2020/5/28]

0xc0D6987d10430292A3ca994dd7A31E461eb28182

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

被攻击合约

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻击流程

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻击者通过工厂合约部署?USDC-WETH?池子，池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址，可以看到这存在明显的中心化风险。

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的?Owner?和?Feeto?地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流动性池的资金已全部被提取，攻击者获利共约?180?万美金。

漏洞分析

Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题，在初始化时最大化授权了工厂合约中的?Feeto?地址，而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。

资金追踪

攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth，通过?Anyswap?跨链后转到以太坊地址和地址上，共获利约?180?万美元。

截止发文时，BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin?安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin?安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签：EOSSINUSDCFEETTHEOSethnographyinbusiness答案AUSDCFEET币

币安交易所app下载热门资讯