一、事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
庫幣將于3月30日19點上線DSLA:據庫幣KuCoin交易所消息,庫幣將于3月30日19:00上線 DSLA Protocol (DSLA) 項目并支持 DSLA/USDT 和 DSLA/BTC 交易服務,目前已開啟DSLA充值服務。 DSLA Protocol是一個去中心化的服務治理平臺,它可以幫助在線業務提高服務的可靠性。以“全民的交易所”著稱,庫幣旨在發掘全球優質區塊鏈項目,為來自207個國家的600萬用戶提供幣幣、法幣、杠桿、合約、礦池、借貸等一站式服務。[2021/3/29 19:26:41]
圖1
WBF瓦特合約重磅產品“合約復活保”11月4日上線:新加坡WBF交易所瓦特合約已于2020年11月4日0:00正式上線“合約復活保”。11月4日至11月9日期間日凈入金≥200USDT且參與BTC正向永續合約交易的用戶,可獲得當日強平金額進行全額補貼。“合約復活保”補貼規則如下:
1、當日強平金額超過50USDT未滿100USDT,按照50USDT面值復活卡發放;
2、當日強平金額超過100USDT部分,按照100USDT面值復活卡發放;
3、單人最高可享受1000USDT面值復活卡補貼;
4、復活卡面值最高為100USDT/張;
5、每張復活卡使用有效期為3天,若同時享有多張復活卡,以卡面實際標注有效期為準;
6、復活卡可直接參與合約交易,無門檻限制,收益可提現轉賬;
如用戶在交易BTC正向永續合約時當日的強平金額為630USDT,那么他次日可以收到平臺100USDT*6張,面值600USDT的復活卡。[2020/11/4 11:37:16]
圖2
“Gate.io 理財寶”PoS理財上線SERO活期理財(第四期):據官方公告,“Gate.io理財寶”已上線《SERO PoS挖礦活期理財第四期》認購,根據網絡產出情況調整。手機App用戶可在行情頁面選擇“理財寶”按鈕參與,手機瀏覽器和電腦Web用戶點擊“理財”-“理財寶”參與。詳情見原文鏈接。[2020/6/27]
二、事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
三、安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?
Tags:USDSDTUSDTSLAusd幣是什么意思usdt幣怎么兌換人民幣匯率bitkeep的usdt怎么轉賬出來Mirrored Tesla
據TheBlock3月8日報道,比特幣交易和托管服務提供商紐約數字投資集團周一宣布,完成2億美元的成長資本輪融資.
1900/1/1 0:00:00昨日拜登政府1.9萬億經濟刺激方案通過關鍵環節獲參議院同意后,加密貨幣市場在股市、債市休市時出現大幅回彈,反映了市場對通脹前景的預期.
1900/1/1 0:00:00來源:PANews,作者:Nancy近一年來,NFT市場出現了不少令人驚艷的創新型產品,NFT生態開始迅速擴張.
1900/1/1 0:00:002018年的時候,我們以為Layer2近在眼前。三年過去了,我們卻發現它依舊離“改變區塊鏈”這個目標有著不短的距離.
1900/1/1 0:00:00來源:未央網 作者:曾杰律師,金融犯罪辯護律師,廣強律所高級合伙人暨非法集資案件辯護與研究中心主任、盧捷培律師,廣強律所非法集資案件辯護與研究中心核心律師在大多數國家,當地法定貨幣兌換外匯.
1900/1/1 0:00:007年巨虧121億卻斥資2.6億狂買BTC、ETH美圖在下什么棋 券商中國 剛剛 28 美圖要進軍區塊鏈?! 3月8日,美圖秀秀的母公司——港股上市公司美圖公司登上了微博熱搜,因為該公司高調宣布.
1900/1/1 0:00:00