2023年4月26日,据Beosin-EagleEye态势感知平台消息,MerlinDex发生安全事件,USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。据了解,MerlinDex是一个去中心化交易所,关于本次安全事件,Beosin安全团队第一时间对事件进行了分析,结果如下。事件相关信息
我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程
瑞士SIX Swiss Exchange 推迟加密服务部门SDX的推出:金色财经报道,由于当前的市场状况,瑞士SIX Swiss Exchange 推迟了其加密服务部门 SIX Digital Exchange (SDX) 的推出。
该证券交易所是瑞士的主要证券交易所,也是欧洲同类交易所中的第三大证券交易所。去年9月,国家监管机构为其开了绿灯?向受监管机构推出与加密相关的服务。SDX 计划为银行、对冲基金和其他持牌金融公司提供托管和质押服务。据《华尔街日报》报道,现在,由于“当前的市场状况”,该交易所的加密服务推出已无限期推迟,
在过去的一年里,瑞士的一些传统金融业者已经涉足加密货币行业。除了六家瑞士交易所,其他还有瑞士阿拉伯银行、BBVA 银行和全国最大的在线银行 Swissquote。该证券交易所预计将利用该国的富裕阶层,使加密货币成为其投资组合的一部分。[2022/6/19 4:38:23]
1.第一步,池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约,在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。
LMAX Group与SIX合作推出加密期货,尚待监管机构批准:3月17日消息,机构级外汇和加密货币交易平台运营商LMAX Group周四宣布与瑞士主要证券交易所SIX达成合作,推出现金结算和集中清算的加密资产期货。
最初,双方将合作推出集中清算的美元结算比特币和以太坊期货,可以每周5天、每天23小时进行交易。但双方计划后期全面推出该产品,让交易可以24小时进行。预计新的加密货币期货将在今年第三季度推出,但目前仍有待监管机构的批准。(Finance MMagnates)[2022/3/17 14:02:41]
动态 | SIX对加密平台Omniex进行投资:金色财经报道, 瑞士证券交易所运营商SIX集团加入了一系列投资者以购买Omniex股份,后者开发技术和服务,使金融机构更容易交易加密货币。SIX尚未透露其对Omniex的投资额,但表示该交易涉及一项合作伙伴关系,该合作伙伴关系为SIX及其客户提供了通往全球加密货币交易所和OTC做市商的门户。该交易所表示,这项合作将使SIX客户获得“标准化和安全的访问”以交易加密货币。[2020/2/26]
2.攻击者通过工厂合约部署USDC-WETH池子,池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址,可以看到这存在明显的中心化风险。
动态 | 瑞士央行和瑞士证券交易所SIX共同探讨利用央行数字货币进行交易和结算:据BNN Bloomberg消息,瑞士国家银行和瑞士证券交易所SIX Swiss Exchange将共同探讨如何让央行数字货币在金融市场参与者之间进行交易和结算。SIX在周三的一份声明中表示,基于数字账本技术的资产买卖有可能降低交易对手风险,并创造重大经济机遇。[2019/10/9]
3.于是在有了最大授权的情况下,攻击者转走了该池子中的所有代币。
4.值得注意的是,在攻击发生之前,工厂合约的Owner和Feeto地址曾有过改动,但这一步并不是攻击所必须的,猜测可能是攻击者为了迷惑他人所做的操作。
最后可以看到USDC-WETH流动性池的资金已全部被提取,攻击者获利共约180万美金。漏洞分析
Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题,在初始化时最大化授权了工厂合约中的Feeto地址,而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪
攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth,通过Anyswap跨链后转到以太坊地址和地址上,共获利约180万美元。截止发文时,BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上,Beosin安全团队将持续对被盗资金进行监追踪。
总结
针对本次事件,Beosin安全团队建议,项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址,用户在进行项目交互时也要多多了解此项目是否涉及风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。