Beosin：zkSync生態DEX Merlin安全事件分析_SIN:eth排名

2023年4月26日，據Beosin-EagleEye態勢感知平臺消息，MerlinDex發生安全事件，USDC-WETH流動性池的資金已全部被提取，攻擊者獲利共約180萬美金。據了解，MerlinDex是一個去中心化交易所，關于本次安全事件，Beosin安全團隊第一時間對事件進行了分析，結果如下。事件相關信息

我們以其中一筆交易為例進行分析攻擊交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻擊者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻擊合約0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻擊流程

Beosin：KyberSwap黑客轉移部分被盜資產，約11.2萬美元:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止北京時間11月20日20點 , KyberSwap黑客轉移部分被盜資產，從0xA3740合約地址將130222 Matic轉移到0xe39aa21842017ade7f803451f77cdb391ce1acb6，約11.2萬美元，Beosin Trace正持續對該黑地址進行監控。[2022/11/20 22:09:47]

1.第一步，池子創建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)創建了工廠合約，在初始化時Feeto地址已經被設為(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Beosin：Rabby項目遭受黑客攻擊，涉及金額約20萬美元:金色財經報道，據Beosin EagleEye Web3安全預警與監控平臺監測顯示，Rabby項目遭受黑客攻擊。因為RabbyRouter的_swap函數存在外部調用,任意人都可以調用該函數，轉走授權該合約用戶的資金。目前攻擊者已在Ethereum，BSC鏈，polygon，avax，Fantom，optimistic，Arbitrum發起攻擊，請用戶取消對相應合約的授權。以下是存在問題的合約：

Bsc合約地址:0xf756a77e74954c89351c12da24c84d3c206e5355、

Ethereum合約地址：0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1、

optimistic合約地址：0xda10009cbd5d07dd0cecc66161fc93d7c9000da1、

avax合約地址：0x509f49ad29d52bfaacac73245ee72c59171346a8、

Fantom合約地址：0x3422656fb4bb0c6b43b4bf65ea174d5b5ebc4a39、

Arbitrum合約地址：0xf401c6373a63c7a2ddf88d704650773232cea391、

Beosin安全團隊分析發現攻擊者(0xb687550842a24D7FBC6Aad238fd7E0687eD59d55)已把全部獲得的代幣兌換為相應平臺幣，目前被盜資金已全部轉移到Tornado Cash中。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:31]

Beosin：TempleDAO項目遭受黑客攻擊，涉及金額約236萬美元:據Beosin EagleEye Web3安全預警與監控平臺監測顯示，TempleDAO項目遭受黑客攻擊。因為在StaxLPStaking合約的migrateStake函數缺少權限校驗，導致任意人都可以通過該函數提取合約中的StaxLP。

Beosin安全團隊分析發現攻擊者已把全部獲得的StaxLP代幣全部兌換為ETH，目前被盜資金已全部轉移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址，Beosin安全團隊將持續跟蹤。Beosin Trace將對被盜資金進行持續追蹤。[2022/10/12 10:31:30]

2.攻擊者通過工廠合約部署USDC-WETH池子，池子初始化時便將池子中的USDC和WETH最大化授權給了合約工廠的Feeto地址，可以看到這存在明顯的中心化風險。

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

3.于是在有了最大授權的情況下，攻擊者轉走了該池子中的所有代幣。

4.值得注意的是，在攻擊發生之前，工廠合約的Owner和Feeto地址曾有過改動，但這一步并不是攻擊所必須的，猜測可能是攻擊者為了迷惑他人所做的操作。

最后可以看到USDC-WETH流動性池的資金已全部被提取，攻擊者獲利共約180萬美金。漏洞分析

Beosin安全團隊分析本次攻擊主要利用了pair合約的中心化問題，在初始化時最大化授權了工廠合約中的Feeto地址，而導致池子中的資金隨時可能被初始化時設定的Feeto地址提取走。資金追蹤

攻擊者調用了transferFrom函數從池子轉出了811K的USDC給攻擊者地址1。攻擊者地址2從token1合約提取了435.2的eth，通過Anyswap跨鏈后轉到以太坊地址和地址上，共獲利約180萬美元。截止發文時，BeosinKYT反洗錢分析平臺發現目前被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上，Beosin安全團隊將持續對被盜資金進行監追蹤。

總結

針對本次事件，Beosin安全團隊建議，項目方應該使用多簽錢包或DAO治理來管理具有重要權限的地址，用戶在進行項目交互時也要多多了解此項目是否涉及風險。

Tags：EOSSINETHSDCEOS RoyaleSINX價格eth排名PCUSDC

Ethereum