EOS:Beosin：zkSync生态DEX Merlin安全事件分析_Mini Doge Pro

原文来源：Beosin

2023?年?4?月?26?日，据?Beosin-EagleEye?态势感知平台消息，MerlinDex?发生安全事件，USDC-WETH?流动性池的资金已全部被提取，攻击者获利共约?180?万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin?安全团队第一时间对事件进行了分析，结果如下。

事件相关信息

我们以其中一笔交易为例进行分析

攻击交易

Web3凭证数据网络Project Galaxy更名并品牌重塑为“Galxe”:金色财经消息，Web3凭证数据网络Project Galaxy更名并品牌重塑为“Galxe”，旨在由单个项目向Web3生态演变，截至目前其Web3身份套件Galxe ID有420多万用户，可记录Web3用户的链上和链下足迹。[2022/9/6 13:12:15]

0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2

Bondly Finance与Cook Protocol达成合作:据官方消息，Bondly Finance将与Cook Protocol达成合作，在Bondly的NFT LaunchPad上推出自己的BCCG卡。

这些卡将使其所有者享受免费服务，并获得VIP聊天以及其他好处。COOK将为每个NFT卡空投45,000个COOK令牌。他们将在Uniswap上市后15天空投令牌数量的三分之一，在Uniswap上市后45天空投三分之一，并在Uniswap上市后75天空投三分之一。NFT的销售将于2021年3月24日美国东部标准时间晚上7点开始。据悉，Cook近期完成融资，投资者包括DuckDao与OKEx。

Bondly Finance首席执行官Brandon Smith表示，很高兴COOK选择Bondly帮助他们踏入NFT的世界，并探索NFT如何为他们的社区和平台增加更多价值。我们期待通过我们的NFT LaunchPad帮助Cook协议释放其NFT。[2021/3/23 19:09:33]

攻击者地址

Cover Protocol宣布将索赔申请费用提高至50 DAI:12月8日，去中心化保险协议Cover Protocol官方宣布，2020年5月12日为BadgerDAO提出的索赔已被Cover Protocol社区拒绝。10 DAI的申请费已被发送至Cover Protocol财政部。与此同时，为了防止提交虚假索赔或垃圾索赔，官方宣布将把申请费从10 DAI调整为50 DAI（如果索赔有效，申请费将退还）。[2020/12/8 14:34:55]

0xc0D6987d10430292A3ca994dd7A31E461eb28182

0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

被攻击合约

0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e

攻击流程

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时?Feeto?地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

2.攻击者通过工厂合约部署?USDC-WETH?池子，池子初始化时便将池子中的?USDC?和?WETH?最大化授权给了合约工厂的?Feeto?地址，可以看到这存在明显的中心化风险。

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的?Owner?和?Feeto?地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到?USDC-WETH?流动性池的资金已全部被提取，攻击者获利共约?180?万美金。

漏洞分析

Beosin?安全团队分析本次攻击主要利用了pair?合约的中心化问题，在初始化时最大化授权了工厂合约中的?Feeto?地址，而导致池子中的资金随时可能被初始化时设定的?Feeto?地址提取走。

资金追踪

攻击者调用了?transferFrom?函数从池子转出了?811?K?的?USDC?给攻击者地址?1?。攻击者地址?2?从?token?1?合约提取了?435.2?的?eth，通过?Anyswap?跨链后转到以太坊地址和地址上，共获利约?180?万美元。

截止发文时，BeosinKYT?反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin?安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin?安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。