在本周的摘要中,Verichains 的调查揭示了最近 180 万美元的 Merlin DEX跑路的根本原因,该事件使人们重新关注安全供应商以及项目所有者在决定其安全合作伙伴时应仔细考虑的问题。
对于本周的事件,DeFi 市场因黑客攻击损失超过 190 万美元。
它是如何展开的
2023 年 4 月 26 日, Wu Blockchain 报道称 Certik 是 DEX 的安全审计员,据称黑客入侵了名为 Merlin 的 zkSync 去中心化交易所 (DEX)。
作为回应,审计员表示该事件是由私钥管理问题而非安全漏洞引起的。 Merlin 立即在 Twitter 上承认了这一事件,敦促用户撤销对他们钱包的连接站点访问/签名许可。
随着情况的发展和更多信息的共享,整个加密社区仍不清楚发生了什么,并开始推测事件的根本原因。
Verichains 独立调查
在我们的联合创始人 Thanh Nguyen 的带领下,Verichains 安全研究人员立即发现了这种情况,并展开了独立调查以确定根本原因。
在讨论结果之前,有必要了解 DEX 的架构。 Merlin DEX 是 Uniswapv2 协议的一个分支,其中每个 LP 对都是一个 ERC20 代币,为AMM池持有资产。在 UniswapV2 协议中,每次执行交换功能时,交易对都会向工厂费用接收方支付一笔费用。
我们对 Merlin DEX 的调查揭示了 L87-88 处的一对“后门”代码,允许 MerlinFactory 的 feeTo 转移该对中的所有资产,以及交换功能中的费用。在我们的评估中,没有需要批准这些代码的用例,它们是一个明显的安全风险。
通常,后门漏洞可以有意或无意地植入一个人的代码中,用于获得未经授权的访问、操纵区块链,或者在这种情况下窃取资金。
调查结果在我们联合创始人的 Twitter 帐户上分享,该帐户迅速传播并被各种新闻媒体转载:
吴区块链: https://twitter.com/WuBlockchain/status/1651153245363109889 ?s=20
Cointelegraph: https://cointelegraph.com/news/certik-zksync-to-launch-compensation-plan-for-2m-merlin-dex-exploit
善后
随着有关后门的消息引起加密社区的更多关注,Merlin DEX 在事件发生 12 小时后发布了一份事后分析,承认了这一漏洞,并声称其后端团队的 3 名成员欺诈性地修改了代码以包含后门和用它来耗尽 DEX 的所有合约。
Merlin DEX 还提到了他们的安全供应商“对所有者对池的总体权力的监督”。 Merlin 和 Certik 补偿受影响受害者的计划的情况仍在发展中。
这一事件应该提醒项目和加密用户在审查安全供应商时进行尽职调查的重要性。
在 Verichains,我们是一家独立的安全公司,旨在促进加密市场的真实性和透明度。
上周的事件
🚨项目: AutoDonateUkraine
⛓️链: BSC
💥类型:反射代币
💸损失金额: $7,000
一个名为 AutoDonateUkraine 的代币项目遭受了 7,000 美元的闪贷攻击。攻击者利用“交付”功能增加了对中$ADU的数量,然后使用“撇去”功能提取了多余的$ADU。通过多次重复此操作,攻击者能够使货币对中的价格失衡并从货币对中获利 22 $WBNB。
🚨项目:永不倒下
⛓️链: BSC
💥类型:价格操纵
💸损失金额: $74,000
BSC 上一个名为 Never Fall 的项目也遭遇闪贷攻击,损失 7.4 万。该攻击涉及一笔 160 万 BUSD 的闪贷,其中 200K BUSD 用于通过 Never Fall 合约中的购买功能购买 7550 万个 Never Fall 代币。 buy函数增加了流动性,用户存入90%的BUSD和合约中的Never Fall,并交换该货币对中剩余的BUSD。剩余的 140 万 BUSD 在 BUSD-Never Fall 池中兑换成 Never Fall。然后,攻击者通过出售功能出售持有的 Never Fall,在从合约中移除流动性后,该功能向用户发送了添加的 BUSD。
