BTC/HKD-0.57%
ETH/HKD-0.64%
LTC/HKD+0.22%
DOT/HKD-0.55%
ADA/HKD-1.11%
SOL/HKD-0.7%
XRP/HKD+0.73%
DOGE/US-0.13%事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
原文鏈接如下:
https://www.bishijie.com/kuaixun/909558.html
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
Ripple已成為BIS“支付跨境結算和擴展互操作性”的正式成員:金色財經報道,Ripple現已成為國際清算銀行(BIS)“支付跨境結算和擴展互操作性”的正式成員。此次加入于8月9日進行,是“國際清算銀行支付和市場基礎設施委員會”更廣泛倡議的一部分。該委員會由33個實體組成,主席由歐洲中央銀行一般市場基礎設施和支付總監Ulrich Bindseil擔任主席。國際清算銀行已成為促進各國央行間貨幣金融合作的主要國際金融機構之一。根據國際清算銀行最近發布的消息,G20跨境支付的成功將在很大程度上取決于這兩個部門之間的合作。此外,國際清算銀行強調,支付系統和基礎安排的必要改進需要“廣泛的公共當局和私營部門利益相關者的全球協調、合作和承諾”。[2023/8/10 16:17:19]
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
Binance發言人回應抄襲質疑:Bicasso未抄襲Chatcasso項目:3月30日消息,針對 Hunt Town 聯創指控 Bicasso 產品竊取其在 BNB Chain 黑客松上提出的創意(即 Chatcasso 項目)。Binance 堅持認為相似之處并不意味著盜竊思想。Binance 發言人稱,盡管有相似之處,但在進行內部審查后,我們相信 Bicasso 是在 BNB 黑客馬拉松前兩周獨立設計和開發的,此外,Binance 和 BNB Chain 是分開運營的,Binance 開發團隊不參與 BNB Chain 黑客馬拉松 Bicasso 這個名字的靈感來自 OpenAI 工具Dall-E,指的是藝術家薩爾瓦多·達利。[2023/3/30 13:35:19]
圖1
新加坡金融管理局探索 DeFi 潛力,嘗試證券代幣化:金色財經報道,新加坡中央銀行正在利用摩根大通幫助領導一個新的區塊鏈試點,探索 DeFi 的潛力。即將進行的測試是新加坡金融管理局 (MAS) Project Guardian 計劃的一部分,該計劃于周二啟動。Project Guardian 旨在評估在包括以太坊在內的公共區塊鏈上運行的 DeFi應用程序是否可以在不引入額外的不當風險的情況下改善批發借貸流程。第一步:將債券和存款代幣化,智能合約為交易執行提供動力。?MAS 還邀請了新加坡跨國銀行星展銀行與當地數字資產發行初創公司 Marketnode 共同領導該計劃。
該項目打算專注于數字證券,或由傳統金融工具支持的區塊鏈代幣。新加坡中央銀行兼任國家金融監管機構,將利用試點結果為其加密貨幣政策制定提供信息。[2022/6/1 3:54:11]
圖2
事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
來源:金色財經
Tags:NANNCEANCCASMushrooms FinanceAsgard FinanceYFFB FinanceWiser Cash
TokenviewAPI自誕生以來已服務超過2000+家客戶的區塊鏈應用,3月5日起Tokenview全新推出全幣種數據API及節點服務管理系統,支持客戶通過郵箱進行注冊.
1900/1/1 0:00:00導語: 成功的路上注定是孤獨的,逆向的交易注定是被質疑的!證實自己正確與否除了時間跟結果,別無其他.
1900/1/1 0:00:00前言:行情不可怕,閃崩不可怕,誘單不可怕,可怕的是你不能把握行情,只有穩定的行情狙擊,以及嚴格的執行進場才能滿載而歸,否則你看著每日的行情波動,看著每日的行情走勢依舊是望洋興嘆,所以跟上節奏.
1900/1/1 0:00:00??幣友們,大家好!我是老楊,專注BTC/ETH行情分析!堅持每日發表出我的觀點,希望能給大家帶來幫助.
1900/1/1 0:00:00各位朋友們,你們好,我是老山說幣。在這個市場,如果你處于一直虧損的狀態,不如換個環境。也許正是你的一次改變,會給你帶來不一樣的結果.
1900/1/1 0:00:00????市場是無止境的,行情是不斷演變的,交易是永不停止的,雖然我們不能把每一波行情都做到,但我們可以抓住瞬息萬變的機會,用客觀冷靜的態度對待市場,分析市場,等待市場,為每一次交易做充分的準備.
1900/1/1 0:00:00
買比特幣
