北京時間2021年3月4日,根據[鏈必安-區塊鏈安全態勢感知平臺(Beosin-OSINT)]輿情監測,BSC生態DeFi項目Meerkat Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
成都鏈安(Beosin)安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
(0x9542966f1114eaa5859201aa8d34358bfedbfa79)
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat Finance項目方已經跑路。
跨鏈DeFi協議Umee完成由Trail of Bits進行的代碼審計:3月21日消息,跨鏈DeFi協議Umee完成由Trailof Bits進行的代碼審計,審計對象主要包括Umee區塊鏈、原生借貸模塊以及Peggo協調器的安全性。本次審計發現了一些可能影響系統隱私性、完整性或可用性的漏洞,目前漏洞已修復。(Medium)[2022/3/21 14:09:32]
圖1
說唱歌手Meek Mill發推談及比特幣:音樂家兼說唱歌手Robert Rihmeek Williams(人稱Meek Mill)日前在推特上發布了“比特幣”一詞,似乎是受到了馬斯克將其推特個人簡介改為Bitcoin的影響。最近,說唱歌手在接受比特幣和加密貨幣方面變得更加積極。Meek Mill似乎是他們當中最新的比特幣接受者。除了轉發了Gemini聯合創始人Cameron Winklevoss的一條推文外,在Meek Mill的主頁上看不到其他關于加密貨幣的推文。Cameron在這條推文中談到了比特幣、DOGE、GME和AMC股價的飆升。其他公開談及比特幣的說唱歌手有50 Cent、Lil Pump、Soulja Boy(不僅是比特幣,還有包括XRP在內的山寨幣)、Barson Jones(又名Young Dirty, Ol’ Dirty Bastard的兒子)、格萊美獎得主說唱歌手T.I.等。(U.Today)[2021/1/30 18:28:33]
Block.one今日開啟第二輪投票 MEET.ONE獲得B1 1000萬投票:6月5日,MEET.ONE作為EOS超級節點eosiomeetone獲得來自Block.one(EOS公鏈開發公司)的1000萬投票。當前eosiomeetone節點排名第三,得票率上升至2.727%。5月初Block.one公布將根據貢獻值對EOS鏈上的超級節點以及候選節點進行投票,并定期對這些節點的表現進行考核,大大提高了Block.one與公鏈建設者們的互動,增加節點的競爭,鼓勵EOSdapp項目方加快開發進度。[2020/6/5]
圖2
2018 BYTOM GLOBAL TOUR MEETUP SEOUL在首爾舉行:今日,“2018 BYTOM GLOBAL TOUR MEETUP SEOUL”在首爾清潭洞舉行。韓國區塊鏈界各有名人士積極參與了MEETUP,并在現場對現階段區塊鏈狀況進行了深入討論和交流。[2018/3/18]
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安(Beosin)安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
成都鏈安(Beosin)安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安(Beosin)安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
礦機是用于產出比特幣的電腦,大多通過燒顯卡的方式投入算力,進行工作,耗電量極大。因此特性,我國的四川、新疆等電力較為便宜的地區成為了境內外主體礦機托管的首選.
1900/1/1 0:00:003月5日,知名數據與評級機構TokenInsight發布《歐易OKEx統一交易賬戶研究報告》。報告指出,如果歐易OKEx統一交易賬戶正式上線,更具效率的保證金交易機制將打通不同產品賬戶之間的資金.
1900/1/1 0:00:00前期超跌反彈,昨日在Coinbase上市的利好刺激下也只是反彈到52000美金便掉頭向下延續調整,可見反彈力度還是比較弱的,今日最低跌至44100美金止跌反彈,不過趨勢行情并未終結,技術圖形上.
1900/1/1 0:00:00著名 DeFi 項目 Furucombo 被黑,損失超 1500 萬美元。慢霧安全團隊第一時間介入分析,并將攻擊細節分享給大家。本次發生問題的合約在 Furucombo 本身的代理合約當中.
1900/1/1 0:00:00本周技術周刊包含以太坊、波卡、Filecoin、IRISnet四個網絡的技術類新聞。 以太坊網絡 EIP-1559性能測試:22小時共處理6426個區塊,平均每個區塊4100萬Gas以太坊客戶端.
1900/1/1 0:00:00加密貨幣起伏巨大,既有數千倍的巨額漲幅,也有跌幅達到99%的“歸零幣”。即使在牛市,虧錢的人也大有人在。因此哪些加密貨幣值得投資,是所有投資者共同關心的問題,在投資時也需要做到心中有數.
1900/1/1 0:00:00