上線不到1天就攜款跑路，3000萬美金被卷走！Meerkat Finance事件解析_YFX:COM

一、事件概覽

北京時間2021年3月4日，根據輿情監測，BSC生態DeFi項目Meerkat?Finance疑似跑路，其自稱金庫合約遭遇到黑客攻擊，黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接

成都鏈安安全團隊第一時間針對該事件啟動安全響應，針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址，我們發現，攻擊者分別地一次性地將大量資金進行轉出，如圖1所示。盡管官方自稱是遭遇了黑客攻擊，但根據我們的分析結果，基本能夠斷定Meerkat?Finance項目方已經跑路。

DeFi跨鏈永續合約平臺YFX.COM IDO上線1小時總參與金額超1.38億美元:據官方最新消息，2021年5月6日18:00跨鏈去中心化永續合約平臺YFX.COM于5月6日18:00在Bounce、WeStarter同時開啟IDO，兌換額度250,000YFX。其中WeStarter白名單池開啟30秒完成兌換，公開兌換池參與金額超1.38億美元，超2764.43倍完成。YFX.COM將于5月9日開放代幣領取，請用戶關注官方公告。

YFX.COM由NGC、SNZ、DFG、LD等機構戰略投資，目前已經完成ETH（layer2）、BSC、Heco、Tron主網以及OKExChain測試網的上線，能提供高達100倍永續合約交易BTC、ETH等資產,多次通過CertiK 智能合約安全審計,實現了衍生品交易的去中心化部署。 YFX.COM創新使用高流動性、低滑點的 QIC-AMM 做市商池交易機制，融合了永續合約交易員期望的 CeFi式杠桿以及 DeFi系統的 AMM 的流動性和簡便性 。[2021/5/6 21:30:55]

圖1

火幣將于9月2日上線KSM、RSR、AKRO、LUNA、STORJ和YFI永續合約:據火幣合約官方公告，火幣合約將于新加坡時間9月2日上線KSM（Kusama）、RSR（Reserve Rights）、AKRO（Akropolis）、LUNA（Terra）、STORJ（Storj）和YFI（yearn.finance）永續合約，13點開啟資金劃轉，16點正式交易，支持1x-75x倍數。此前，火幣永續合約已涵蓋BTC、ETH、LINK、CRV等在內的四十三大主流熱門幣種。

據悉，新上線的六大熱門幣種永續合約均無交割日期，合約面值均為10美元/張，合約標的均為其對應數字資產的現貨美元指數，且每8小時結算一次，結算時間戳分別為4:00、12:00和20:00（GMT+8），用戶已實現盈利在結算后可立即提取。詳情請查看火幣合約官網公告。[2020/9/1]

公告 | EbuyCoin交易所將于11月6日上線BTM:據官網消息，新加坡交易所EbuyCoin將于11月6日12:00（GMT+8）開放BTM充值、提幣，并于11月6日15:00（GMT+8）開放BTM/USDT、BTM/BTC、BTM/ETH交易。

比原鏈（Bytom）是一種多元比特資產的交互協議，運行在比原鏈區塊鏈上的不同形態的，異構的比特資產和原子資產可以通過該協議進行登記、交換和基于合約的更具復雜性的交互操作。

EbuyCoin交易所總部位于新加坡，是由美國哈佛大學和新加坡南洋理工大學的計算機與金融風險管理專家團隊管理運營的大型數字資產交易平臺，由新加坡Synergy財務顧問集團戰略投資，在數字資產交易及風險管理方面，擁有豐富的經驗和完善的體系。[2019/11/5]

圖2

二、事件分析

緊接著，我們開始針對轉移盜竊資金的兩筆交易進行分析，發現攻擊者直接通過調用金庫合約的一個函數，將金庫合約中的資金全部轉走；而金庫合約使用的是可升級的代理合約，也就是實際邏輯是可以進行更改的，其權限在項目方。

圖3

圖4

根據記錄還可得出，項目方在WBNB金庫盜竊中，代理合約的實際邏輯還是正常的金庫合約，在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中，項目方索性扯下了自己的“遮羞布”，一開始就部署的是存在后門的合約。如圖5所示：

圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼，我們在對其中一個合約進行反編譯時分析發現，其就是一個將代幣進行轉移的函數。如圖6所示：

圖6

最終，我們得出結論，本次事件顯然是項目方預謀的釣魚事件，從一開始就是奔著跑路去的；而在本次事件中，代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限，導致項目方盜取用戶資金，如同探囊取物。

三、安全建議

成都鏈安安全團隊認為，對于“可升級的代理合約”，在審計角度來看，為了保證項目的可維護性和迭代可能，保留這類權限并不是不可取的。即使在日常的安全審計工作中，我們也不能要求項目方取消這類權限。但權力是一把雙刃劍，是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中，我們一直以來都有對此類權限加以說明。同時，在這里有必要提醒廣大用戶選擇投資項目時，一定要詳細閱讀安全審計報告中的細節描述，特別是我們給出的潛在風險提示及安全建議。

最后，需要引起注意到是，我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金，目前已有用戶錢包內的資金被盜16萬BUSD。

在此，成都鏈安安全團隊特別提醒各位已參與此項目的用戶，立即取消對該項目地址的授權，或立即轉移錢包內的資金，避免造成二次損失。

BSC授權檢查地址如下：https://bscscan.com/tokenapprovalchecker?

Tags：YFXCOMBTMEFIYFXL幣ComBitbtm幣值得長期持有嗎deFIRE

波場