以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 火星幣 > Info

分析 | 3100萬美元被惡意卷走,幣安會為用戶回滾BSC嗎?_ANC:NCE

Author:

Time:1900/1/1 0:00:00

注:原文來自rekt。

回想起來,這是不可避免的。

這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件,MeerkatFinance丟失的資金排到了排行榜的第三位。

在僅僅運營一天之后,MeerkatFinance就卷走了1300萬BUSD以及大約73000BNB,目前涉及資金總額約為3100萬美元。

我們一直在觀察幣安智能鏈,其網絡似乎正復制以太坊DeFi夏天的發展走勢,當一些項目方通過復制的代碼建立足夠的資本后,就出現了卷款跑路的現象。

而這一事件的后續,將會是一種非常有趣的情況。

CZ及其團隊會不會回滾他們的公司鏈,或者就這么讓用戶遭受損失?

分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

這樣的騙局使得小偷無處藏身,在這么一條鏈上,他們能跑到哪里去呢?幣安關閉了橋梁,甚至bscscan.com也暫停了一會兒。是流量太大,還是某種類型的煙幕彈?

分析 | GTI Global Strength技術指標顯示比特幣出現去年12月以來的首次買入信號:根據GTI Global Strength技術指標,比特幣收到了自去年12月以來的首次買入信號。目前,比特幣價格維持在8000美元的水平,進一步增強了市場的樂觀情緒,可能會推動該幣種的進一步升值。(彭博社)[2019/10/5]

MeerkatFinance最初聲稱這是一次黑客攻擊,但隨后該項目方刪除了他們的賬戶,只剩下BSC用戶自己,或者去怪幣安。

感謝0xdeadf4ce提供的幫助。

MeerkatFinance部署者升級了該項目的2個金庫。

攻擊者地址通過Vault代理調用無需許可初始化函數,有效地允許任何人成為Vault所有者。

分析 | TokenInsight :匿名類通證以大額支付和轉賬作為價值支撐:今日TokenInsight 發布《隱私支付類通證研究報告》,報告指出,匿名通證是為了解決 Bitcoin 匿名功能不足而產生的,其背后有實際場景中大額支付和轉賬作為價值支撐,市場共識正在逐步建立中。此外,匿名通證的合規性也是市場關注的焦點,提供靈活可選擇的匿名功能的通證項目(如 Zcash 與 Dash)被監管接受的程度正在逐漸提高。最后,匿名技術不僅可以使項目通證提供匿名功能,還可以為傳統項目提供企業級技術支持。

TokenInsight 認為,總體而言,匿名通證仍屬于較為小眾的市場,但隨著其應用的豐富和功能的提升,未來有廣闊的發展空間。[2018/10/18]

攻擊者隨后通過調用簽名為0x70fcb0a7的函數來耗盡金庫,該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯,顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。

分析 | 金色盤面:BTC下破6300美元:金色盤面獨家分析:最近國際金融市場的動蕩終于波及到了數字貨幣市場,BTC 1小時內振幅近400美元,如果從技術看已經破位,反抽高點可能是短線離場的機會,建議投資者保持觀望,等待趨勢明朗。上述分析僅限技術交流,不作為交易參考,投資者需要理性看待市場價格波動,做好風險控制。(登錄金色財經APP—發現,查看更多幣種的獨家點評)[2018/10/11]

通常,如果合約具有允許所有者主動取回策略/金庫中使用資產的函數,那么你就是在信任這個項目團隊。

而他們可以隨時選擇跑路。

這就是為什么像yearn這樣的項目會添加如下圖所示的檢查函數,這樣項目方就只能取回那些沒有被策略/機槍池所使用的資金。

分析 | FGI恐慌指數 26:金色獨家分析:FGI恐慌指數10月8日顯示為26,恐慌指數等級為恐懼,雖然btc出現了不錯的反彈走勢,但是成交量依然低迷,大家對于數字貨幣市場的態度依然曖昧,最近美國股市出現大幅波動,帶動全球市場走低,不知道數字貨幣市場能否像17年一樣,成功吸金。投資者請理性看待市場波動,做好風險控制。[2018/10/9]

兩個受影響的金庫都使用了OpenZeppelin的透明代理升級模式,通過在Vault代理級別上調用upgradeTo函數,可以將Vault邏輯升級到新的邏輯實現。

BUSD金庫的先前實現部署在0x49509a31898452529a69a64156ab66167e755dfb,而WBNB金庫的先前實現部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271,兩者都是相當不起眼的。

MeerkatFinance部署者調用了upgradeTo函數兩次:

在區塊高度5381239時,將WBNBVault實施地址設置為0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;

在區塊高度5381246時,將BUSDVault實施地址設置為0xb2603fc47331e3500eaf053bd7a971b57e613d36;

這改變了金庫邏輯,引入連個值得注意的函數,而它們并非是最初實現的一部分。

init(地址所有者)

根據反編譯字節碼,此函數將存儲slot0上的地址設置為提供給該函數的地址;

無需權限檢查,這個新添加的函數成為了攻擊者闖入金庫的最終后門。

在透明代理中使用特定的Initializer模式是最佳實踐,并且已在第一個Vault實現中應用,因此除了計劃盜竊Vault資金之外,添加init方法的意圖也是非常值得懷疑的。

0x70fcb0a7(address_param1)

源代碼不可用,反編譯源僅限于檢查調用者是否等于init方法中設置的存儲slot0,并使用金庫地址作為查詢目標,轉出param1隨附的代幣合約上的balanceOf。這兩種功能都不是以前Vault實現的一部分。

比較新舊實現的字節碼大小,我們可以發現,新實現的字節碼大小僅為以前邏輯的1/4。

由于升級是MeerkatFinance部署者完成的,考慮到鏈上數據的所有方面,因此這次事件最有可能的情況是蓄意的跑路事件,而私鑰泄露的可能性是非常小的。

截至這篇文章發布時,被盜資金的部分已被分配到不同的地址,并被發送到似乎屬于幣安交易所托管的幣安橋。

Binance.org橋目前已暫停,可能是為了避免資金被輕易轉移到其他區塊鏈。

時間線

2021年3月4日上午UTC時間08:53:10,MeerkatFinance部署者將WBNB金庫改到合約0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;

2021年3月4日上午UTC時間08:53:31,MeerkatFinance部署者將BUSD金庫改到合約0xb2603fc47331e3500eaf053bd7a971b57e613d36;

2021年3月4日上午UTC時間08:54:31,攻擊者調用BUSD金庫上的0x70fcb0a7方法以轉出13,968,039BUSD

2021年3月4日上午UTC時間08:54:55,攻擊者調用WBNB金庫上的0x70fcb0a7方法以轉出73,635WBNB

同樣的把戲在不同的鏈上發生過,但權力的平衡是不同的。在CZ的監視下,橋梁被燒毀了,強盜無處藏身。

即使是在Meerkat_Rugpull電報群中,關于幣安如何處理這種情況的問題,聊天成員們也沒有達成共識。

幣安會回滾區塊鏈并將錢退給用戶嗎?

答案并不是那么清晰,21名神秘驗證者理論上可以安排退款,但可能性并不大,這只會助長CeDeFi的問題,并為BSC律師創造更多的工作。

幣安如何處理這次事件,可能會開創一個先例。

雖然這并不是發生在BSC上的第一次卷款跑路事件,但這是自PancakeSwap興起以來的第一次,也是涉及金額最大的一次。.

因此,我們發現,在BSC上的協議并不比在以太坊安全。

CZ不會救你,他們的交易確實便宜了,但沒有獨創的發展。

一旦以太坊Layer2落地了,BSC這條企業鏈將會變成什么樣?

Tags:ANCNCEMEEVAULTShibaken FinanceDollarBalance BondSOMEE價格Pvault Finance

火星幣
CBC100 | 王岳華:區塊鏈產業未來投資方向_區塊鏈:怎么做區塊鏈

大家好,我是王岳華,很高興今天接受金色財經的邀請來跟各位分享“區塊鏈產業的未來投資方向”這個主題。整個區塊鏈的產業,尤其是中國,比較重視在鏈上應用、技術深化、企業服務等方面的商業機會.

1900/1/1 0:00:00
不知道怎么玩NFT?不如直接買這些NFT指數_PUN:PUNK

當前的NFT市場可能缺乏流動性。這意味著那些將NFT代幣化為ERC-20的項目有很大的潛力,這些項目可以使NFT更具流動性和易于交易性.

1900/1/1 0:00:00
分析:美國政府要重拳打擊洗錢 比特幣大風險來了?_COIN:coinbase下載蘋果版

作者:鐘黛 因天然“匿名性”,加密貨幣易于逃過監管、成為非法活動的資金來源,因此也被多國政府視為危及國家安全的眼中釘。如今,新任美國財長耶倫接過姆努欽的大棒,或將要拔掉這顆“眼中釘”.

1900/1/1 0:00:00
Meerkat Finance跑路事件分析:上線不到1天就攜款跑路 3000萬美金被卷走_ABS:MEER

事件概覽 北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金.

1900/1/1 0:00:00
摩根大通調查:22%機構投資者認為他們的公司未來會交易加密貨幣_比特幣價格:比特幣

摩根大通進行的一項調查發現,在目前沒有交易過加密貨幣的公司中,有五分之一機構投資者認為他們的公司未來可能會交易加密貨幣.

1900/1/1 0:00:00
中國區塊鏈政策普查及監管趨勢分析報告(下)_數字人:coinbase

中國區塊鏈政策普查及監管趨勢分析報告(下) 01區塊鏈 剛剛 481 中國區塊鏈政策普查及監管趨勢分析報告(上) 報告摘要 1、2020年區塊鏈產業政策迎來井噴式增長.

1900/1/1 0:00:00
ads