事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
原文鏈接如下:
https://www.bishijie.com/kuaixun/909558.html
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
Meebits系列NFT24小時交易額增幅達108.33%:金色財經消息,據NFTGo.io數據顯示,Meebits系列NFT總市值達7.79億美元,在所有NFT項目總市值排名中位列第5;其24小時交易額為473.63萬美元,增幅達108.33%。截止發稿時,該系列NFT當前地板價為3.35ETH。[2022/6/15 4:29:35]
圖1
FAMEEX上線新幣種BAL(Balancer):據官方消息,FAMEEX于2020年10月13日上線新幣種BAL(Balancer);平臺將于2020年10月13日16點開放BAL充值,18點開放提現業務;同時,將于10月13日18點開放BAL/USDT、BAL/BTC、BAL/ETH幣對交易。[2020/10/13]
圖2
事件分析
BitZ俄羅斯MEET UP正式舉辦:3月11日,BitZ落地俄羅斯后的首場MEET UP在圣彼得堡正式舉辦。包括俄羅斯區塊鏈媒體Bits.Media CEO、行情分析師以及近百位BitZ俄羅斯用戶參加了此次MEET UP。會議過程中,BitZ CMO Palo、首席商務官Tiffany通過視頻連線的方式與現場的用戶及嘉賓進行了交流,不僅向用戶介紹了平臺,也對BitZ“他所VIP即我所VVIP”、長期穩定合約交易增進、免息杠桿等新政策、新產品進行了詳細解讀,得到現場用戶一致認可。BitZ CMO Palo表示,將依托產品和安全,為俄羅斯用戶提供更多的定制化產品和服務。[2020/3/12]
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
聲音 | V神回復Tuur Demeester:絕對的不可逆性是錯誤的,分叉不一定導致災難:據cryptoglobe報道,V神回復了數字貨幣經濟學家Tuur Demeester此前提出的一系列問題。V 神向其推薦文章,介紹POS機制的諸多優點,并表示自己實際上贊成ETH的挖礦獎勵盡可能低,同時確保網絡安全性。強調從不主張將所有東西都放在區塊鏈上,“世界計算機”一詞是指作為一個專門的通用平臺,針對需要共享的應用和數據進行存證。針對以太坊不適合個人節點運行問題,V神表示一直在努力,上周已經有在個人電腦上運行的節點了。對于以太坊的審查漏洞問題,V神表示,DAO分叉確實違反了絕對不可逆性的觀念。然而,分叉會導致災難,這是非常錯誤的。社區在處理EIP 867與EIP 999的問題上,已經證明“適當但不是無限強大的不可逆性”的社會契約實際上是可以穩定運行的。ETH核心開發人員試驗半封閉會議的事情已經取消了,以太坊開發團隊非常強大,即便沒有我也可以照常工作,推進以太坊開發。[2018/12/31]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
以太defi挖礦再次火爆涌入60億美金?關于流動性做市的盈虧思考 風火輪社區 剛剛 30 大家好,我是佩佩,不知道是不是受隔壁鼓市影響,周一的行情又有點撲朔迷離,不過最近挖礦又火爆起來.
1900/1/1 0:00:00自上一次波卡公布平行鏈插槽拍賣規則后,市場一直都在等待這件事的正式落地,平行鏈插槽拍賣很有可能是波卡在今年能夠確定下來的最大利好信息.
1900/1/1 0:00:00本文來源:金十數據 高盛集團在重啟加密貨幣交易平臺之際,發現了機構對數字資產的巨大需求。高盛數字資產全球負責人MattMcDermott在播客上表示,在對近300名機構客戶進行調查后,發現目前有.
1900/1/1 0:00:00摘要: 2020年2月25日,Coinbase正式向SEC提交上市申請,計劃將其A類普通股在納斯達克全球精選市場直接上市.
1900/1/1 0:00:00金色早報|加密交易所2月份訪問量創2018年1月以來新高 金色早8點 剛剛 14 頭條 ▌加密交易所2月份訪問量創2018年1月以來新高金色財經報道.
1900/1/1 0:00:00目前,作為DeFi基石的穩定幣還處于被中心化類資產支配的階段,而傳統的去中心化超額抵押類型穩定幣,則存在著資產效率不高的問題,針對這一問題,從去年開始,一些算法穩定幣開始嶄露頭角,令人遺憾的是.
1900/1/1 0:00:00