在本週的摘要中,Verichains 的調查揭示了最近 180 萬美元的 Merlin DEX跑路的根本原因,該事件使人們重新關注安全供應商以及項目所有者在決定其安全合作伙伴時應仔細考慮的問題。
對於本週的事件,DeFi 市場因黑客攻擊損失超過 190 萬美元。
它是如何展開的
2023 年 4 月 26 日, Wu Blockchain 報道稱 Certik 是 DEX 的安全審計員,據稱黑客入侵了名為 Merlin 的 zkSync 去中心化交易所 (DEX)。
作為迴應,審計員表示該事件是由私鑰管理問題而非安全漏洞引起的。 Merlin 立即在 Twitter 上承認了這一事件,敦促使用者撤銷對他們錢包的連線站點訪問/簽名許可。
隨著情況的發展和更多資訊的共享,整個加密社群仍不清楚發生了什麼,並開始推測事件的根本原因。
Verichains 獨立調查
在我們的聯合創始人 Thanh Nguyen 的帶領下,Verichains 安全研究人員立即發現了這種情況,並展開了獨立調查以確定根本原因。
在討論結果之前,有必要了解 DEX 的架構。 Merlin DEX 是 Uniswapv2 協議的一個分支,其中每個 LP 對都是一個 ERC20 代幣,為AMM池持有資產。在 UniswapV2 協議中,每次執行交換功能時,交易對都會向工廠費用接收方支付一筆費用。
我們對 Merlin DEX 的調查揭示了 L87-88 處的一對“後門”程式碼,允許 MerlinFactory 的 feeTo 轉移該對中的所有資產,以及交換功能中的費用。在我們的評估中,沒有需要批准這些程式碼的用例,它們是一個明顯的安全風險。
通常,後門漏洞可以有意或無意地植入一個人的程式碼中,用於獲得未經授權的訪問、操縱區塊鏈,或者在這種情況下竊取資金。
調查結果在我們聯合創始人的 Twitter 帳戶上分享,該帳戶迅速傳播並被各種新聞媒體轉載:
吳區塊鏈: https://twitter.com/WuBlockchain/status/1651153245363109889 ?s=20
Cointelegraph: https://cointelegraph.com/news/certik-zksync-to-launch-compensation-plan-for-2m-merlin-dex-exploit
善後
隨著有關後門的訊息引起加密社群的更多關注,Merlin DEX 在事件發生 12 小時後釋出了一份事後分析,承認了這一漏洞,並聲稱其後端團隊的 3 名成員欺詐性地修改了程式碼以包含後門和用它來耗盡 DEX 的所有合約。
Merlin DEX 還提到了他們的安全供應商“對所有者對池的總體權力的監督”。 Merlin 和 Certik 補償受影響受害者的計劃的情況仍在發展中。
這一事件應該提醒項目和加密使用者在審查安全供應商時進行盡職調查的重要性。
在 Verichains,我們是一家獨立的安全公司,旨在促進加密市場的真實性和透明度。
上週的事件
🚨項目: AutoDonateUkraine
⛓️鏈: BSC
💥型別:反射代幣
💸損失金額: $7,000
一個名為 AutoDonateUkraine 的代幣項目遭受了 7,000 美元的閃貸攻擊。攻擊者利用“交付”功能增加了對中$ADU的數量,然後使用“撇去”功能提取了多餘的$ADU。通過多次重複此操作,攻擊者能夠使貨幣對中的價格失衡並從貨幣對中獲利 22 $WBNB。
🚨項目:永不倒下
⛓️鏈: BSC
💥型別:價格操縱
💸損失金額: $74,000
BSC 上一個名為 Never Fall 的項目也遭遇閃貸攻擊,損失 7.4 萬。該攻擊涉及一筆 160 萬 BUSD 的閃貸,其中 200K BUSD 用於通過 Never Fall 合約中的購買功能購買 7550 萬個 Never Fall 代幣。 buy函式增加了流動性,使用者存入90%的BUSD和合約中的Never Fall,並交換該貨幣對中剩餘的BUSD。剩餘的 140 萬 BUSD 在 BUSD-Never Fall 池中兌換成 Never Fall。然後,攻擊者通過出售功能出售持有的 Never Fall,在從合約中移除流動性後,該功能向使用者傳送了新增的 BUSD。
