事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
原文鏈接如下:
https://www.bishijie.com/kuaixun/909558.html
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
跨鏈DeFi協議Umee推出機構借貸DAO UDX:10月15日消息,跨鏈DeFi協議Umee推出機構借貸DAO UDX,將以抵押定期貸款的形式向以加密貨幣為重點的機構提供可定制的債務融資。作為貸款承銷商,UDX將通過貸款發行費、場外交易費等產生收入。[2022/10/15 14:28:12]
圖1
Yuga Labs開始向Meebits二級市場銷售收取5%的版稅:7月29日消息,Yuga Labs旗下NFT系列Meebits在推特上宣布,即日起Yuga Labs將對Meebits的所有二級市場(如在OpenSea、LooksRare上)銷售收取5%的版稅。
此前報道,3月12日,YugaLabs宣布收購LarvaLabs開發的Crypto Punks和MeebitsNFT系列。YugaLabs計劃將這兩個NFT系列的全部商業權利提供給持有者。[2022/7/29 2:46:17]
圖2
Meerkat事件更新:官方開發者稱為幫助用戶認識智能合約危險,邀請黑客進行攻擊:Meerkat Finance開發者表示,為了幫助用戶認識到智能合約的潛在危險,Meerkat邀請黑客攻擊漏洞,盜取超過7.3萬枚BNB和1400萬BUSD。開發者表示,這僅是一個實驗,Meerkat將做數據更新和實施智能合約支付用戶。[2021/3/6 18:21:14]
事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
中美Ethereum Meetup會面 全球Blockchain Hacker聯盟啟動:美東時間2018年5月3日,China Ethereum Meetup與San Francisco Ethereum Meetup碰面,進行了包括區塊鏈技術實作與應用、前沿技術知識傳播等多項討論并達成合作。San Francisco Ethereum Meetup是全世界范圍內以太坊技術組織的個中翹楚。此次合作實為中國廣大以太坊技術愛好者之福。DoraHacks作為中國乃至全球極客精神的見證者與踐行者,將在后續區塊鏈技術的傳播中承擔更多的責任。[2018/5/4]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
當前的NFT市場可能缺乏流動性。這意味著那些將NFT代幣化為ERC-20的項目有很大的潛力,這些項目可以使NFT更具流動性和易于交易性.
1900/1/1 0:00:00作者:鐘黛 因天然“匿名性”,加密貨幣易于逃過監管、成為非法活動的資金來源,因此也被多國政府視為危及國家安全的眼中釘。如今,新任美國財長耶倫接過姆努欽的大棒,或將要拔掉這顆“眼中釘”.
1900/1/1 0:00:00注:原文來自rekt。 回想起來,這是不可避免的。這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件,MeerkatFinance丟失的資金排到了排行榜的第三位.
1900/1/1 0:00:00摩根大通進行的一項調查發現,在目前沒有交易過加密貨幣的公司中,有五分之一機構投資者認為他們的公司未來可能會交易加密貨幣.
1900/1/1 0:00:00中國區塊鏈政策普查及監管趨勢分析報告(下) 01區塊鏈 剛剛 481 中國區塊鏈政策普查及監管趨勢分析報告(上) 報告摘要 1、2020年區塊鏈產業政策迎來井噴式增長.
1900/1/1 0:00:00下文將介紹在保持市場中立的條件下,如何從永續掉期資金費率中套利。但是由于市場在不斷變化,下文提到的策略不是任何時候都有效,完全取決于市場狀況.
1900/1/1 0:00:00