区块链:Beosin：zkSync生态DEX Merlin安全事件分析_Fortuna

2023年4月26日，据Beosin-EagleEye态势感知平台消息，MerlinDex发生安全事件，USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。据了解，MerlinDex是一个去中心化交易所，关于本次安全事件，Beosin安全团队第一时间对事件进行了分析，结果如下。事件相关信息

我们以其中一笔交易为例进行分析攻击交易0xf21bedfb0e40bc4e98fd89d6b2bdaf82f0c452039452ca71f2cac9d8fea29ab2攻击者地址0xc0D6987d10430292A3ca994dd7A31E461eb281820x2744d62a1e9ab975f4d77fe52e16206464ea79b7被攻击合约0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e攻击流程

关于Forte、BitDAO和Alameda等投入5亿美元构建GameFi 孵化器 Game7的提案获得通过:11月17日消息，此前关于Forte 提议与BitDAO、Alameda 等投入5 亿美元构建GameFi 孵化器 Game7的提案现已在SnapShot获得通过。

根据此前提案，Forte 将投入 1 亿美元，BitDAO 将投入 4 亿美元。此外，提议的所有权初始分配中，BitDAO 占据 69% 至 79%，Forte 占据 9% 至 19%，社区合作伙伴占据最多 20%，Mirana 和 Alameda Research 各占据 1%。Game7 将加速区块链技术在游戏行业的采用，投资区块链游戏公司，并提供赠款计划以发展开源生态系统。[2021/11/17 6:56:29]

1.第一步，池子创建者(0xc0D6987d10430292A3ca994dd7A31E461eb28182)创建了工厂合约，在初始化时Feeto地址已经被设为(0xc0D6987d10430292A3ca994dd7A31E461eb28182)。

Ampleforth在Immunefi平台推出10万美金漏洞赏金计划:据官方消息，Ampleforth在Immunefi（智能合约漏洞悬赏平台）推出10万美金的漏洞赏金计划，此计划仅考虑直接影响AMPL和从AMPL产生的收益的漏洞, Aave本身以及Ampleforth上的漏洞不在此漏洞赏金计划中，也不被接受。

漏洞赏金计划专注于其智能合约，主要关注点为：用户AMPL存款损失、盗窃无人认领的收益、在Aave上冻结AMPL 1小时及更长时间。[2021/7/4 0:25:33]

Huobi 于4月22日13:45 开放FORTH（Ampleforth?治理代币）交易:据官方消息，Huobi Global“全球观察区”定于2021年4月22日上线FORTH，其中Huobi 将于4月22日10:30 开放FORTH的充币业务；13:45开放FORTH币币交易；4月23日10:30 (GMT+8) 开放FORTH的提币业务。FORTH是算法稳定币项目AMPL（Ampleforth）治理代币，曾与AMPL生态系统进行过交互的任何用户都可以申领FORTH代币空投，超7.5万个地址具有领取资格。详情见官网公告。[2021/4/22 20:46:10]

2.攻击者通过工厂合约部署USDC-WETH池子，池子初始化时便将池子中的USDC和WETH最大化授权给了合约工厂的Feeto地址，可以看到这存在明显的中心化风险。

声音 | Cody Sanford：T-Mobile在身份和访问管理等多个领域探索区块链技术的应用:据福布斯消息，T-Mobile执行副总裁兼CIO Cody Sanford表示，“T-Mobile对潜在的区块链技术感到兴奋，这些技术可为我们的业务和客户提高安全性、降低成本和消除痛点。身份和访问管理是我们在该领域取得进展的一个很好例子。我们正在与标准机构和开源社区合作，开发基于区块链的自主身份解决方案，该解决方案可以极大改变人们与信息交互的方式。\" 该公司一直致力于区块链在多领域的应用，比如NEXT Identity Project。“这是一个私有区块链解决方案，我们正在与开源社区合作开发，以改进管理员工权限的方式以及相关审计和治理。”该项目着眼于2019年“其1.0里程碑并进入生产阶段”。他还指出，与国际合作伙伴合作，利用区块链技术改善移动网络漫游领域。T-Mobile与企业以太网联盟、Hyperledger项目和W3C合作，也是Cascadia区块链理事会创始成员之一。 他解释，区块链是5G和物联网服务自动化和安全性难题中的一个重要部分。“我们一直在探索区块链智能合约如何允许我们实施新的分布式安全模型。”该公司也认识到区块链在面向客户的忠诚度、广告和内容管理领域的可能性。[2019/6/14]

3.于是在有了最大授权的情况下，攻击者转走了该池子中的所有代币。

4.值得注意的是，在攻击发生之前，工厂合约的Owner和Feeto地址曾有过改动，但这一步并不是攻击所必须的，猜测可能是攻击者为了迷惑他人所做的操作。

最后可以看到USDC-WETH流动性池的资金已全部被提取，攻击者获利共约180万美金。漏洞分析

Beosin安全团队分析本次攻击主要利用了pair合约的中心化问题，在初始化时最大化授权了工厂合约中的Feeto地址，而导致池子中的资金随时可能被初始化时设定的Feeto地址提取走。资金追踪

攻击者调用了transferFrom函数从池子转出了811K的USDC给攻击者地址1。攻击者地址2从token1合约提取了435.2的eth，通过Anyswap跨链后转到以太坊地址和地址上，共获利约180万美元。截止发文时，BeosinKYT反分析平台发现目前被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin安全团队将持续对被盗资金进行监追踪。

总结

针对本次事件，Beosin安全团队建议，项目方应该使用多签钱包或DAO治理来管理具有重要权限的地址，用户在进行项目交互时也要多多了解此项目是否涉及风险。

标签：FORFORTORT区块链BFORMFortunaOort Digital为什么要有区块链

瑞波币热门资讯