月亮链 月亮链
Ctrl+D收藏月亮链
首页 > FIL币 > 正文

MEE:Meerkat Finance跑路事件分析:上线不到1天就携款跑路 3000万美金被卷走_与你在一起bnb黄油场景

作者:

时间:1900/1/1 0:00:00

事件概览

北京时间2021年3月4日,根据舆情监测,BSC生态DeFi项目Meerkat?Finance疑似跑路,其自称金库合约遭遇到黑客攻击,黑客利用漏洞盗取了金库中的全部资金。目前该项目网站已经无法打开。

原文链接如下:

https://www.bishijie.com/kuaixun/909558.html

成都链安安全团队第一时间针对该事件启动安全响应,针对用户攻击地址

进行跟踪。经过跟踪攻击者地址,我们发现,攻击者分别地一次性地将大量资金进行转出,如图1所示。尽管官方自称是遭遇了黑客攻击,但根据我们的分析结果,基本能够断定Meerkat?Finance项目方已经跑路。

Meebits系列NFT地板价升至4.9ETH,24小时涨幅25.64%:金色财经报道,据NFTGo.io数据显示,Meebits系列NFT地板价现为4.9 ETH,24小时涨幅25.64%。此外,该系列24小时成交额为635.7万美元,总市值7.9亿美元。[2022/6/20 4:40:23]

图1

NFT项目Meebits 24小时交易量超330万美元,涨幅达426.19%:3月11日,据 OpenSea 数据显示,NFT 项目 Meebits 24 小时交易量达 1310.89 ETH(约合 330 万美元),涨幅达 426.19%,7 日涨幅达 603.37%。[2022/3/11 13:50:44]

图2

事件分析

紧接着,我们开始针对转移盗窃资金的两笔交易进行分析,发现攻击者直接通过调用金库合约的一个函数,将金库合约中的资金全部转走;而金库合约使用的是可升级的代理合约,也就是实际逻辑是可以进行更改的,其权限在项目方。

FAMEEX上线XTZ、BNB:据官方消息,FAMEEX平台于2020年7月8日上线XTZ、BNB两个币种。XTZ、BNB将于07月08日?16:00:00开放充提;将于07月08日18:00:00开放XTZ/USDT、XTZ/BTC、BNB/USDT、BNB/BTC、BNB/ETH币对交易。

FAMEEX是一家安全、流动性强、提供策略交易的数字资产交易平台,旨在最大限度地保障终端用户的操作体验和财产安全。投资者可以在FAMEEX进行币币、网格策略交易。[2020/7/8]

图3

声音 | Tuur Demeester:美联储向市场注入超1040亿美元,相当于比特币经损失调整后87%的市值:据华尔街日报报道,美国纽约联邦储蓄银行周四(10月17日)向金融市场注入了1041.5亿美元的临时流动资金。此次干预分为两个部分。其中一项是通过期限回购协议操作,该操作将持续15天,注入金额为306.5亿美元;另一项是通过为期一天的回购操作进行的,总额达735亿美元。对此,Adamant Capital创始合伙人Tuur Demeester评论称,美联储仅仅此次的量化宽松注入金额就达到了1040亿美元,这相当于比特币经过损失调整后87%的市值。[2019/10/19]

图4

根据记录还可得出,项目方在WBNB金库盗窃中,代理合约的实际逻辑还是正常的金库合约,在攻击时才将合约逻辑替换成存在后门的合约。但是在盗取BUSD的交易中,项目方索性扯下了自己的“遮羞布”,一开始就部署的是存在后门的合约。如图5所示:

图5

成都链安安全团队发现两次攻击所用的后门合约都是同一套代码,我们在对其中一个合约进行反编译时分析发现,其就是一个将代币进行转移的函数。如图6所示:

图6

最终,我们得出结论,本次事件显然是项目方预谋的钓鱼事件,从一开始就是奔着跑路去的;而在本次事件中,代码层的罪魁祸首就是“可升级的代理合约”给予了项目方过大的权限,导致项目方盗取用户资金,如同探囊取物。

安全建议

成都链安安全团队认为,对于“可升级的代理合约”,在审计角度来看,为了保证项目的可维护性和迭代可能,保留这类权限并不是不可取的。即使在日常的安全审计工作中,我们也不能要求项目方取消这类权限。但权力是一把双刃剑,是好是坏则取决于使用它的人。在成都链安出具的安全审计报告中,我们一直以来都有对此类权限加以说明。同时,在这里有必要提醒广大用户选择投资项目时,一定要详细阅读安全审计报告中的细节描述,特别是我们给出的潜在风险提示及安全建议。

最后,需要引起注意到是,我们监测到攻击者在使用transferFrom函数盗取用户钱包内已授权给金库合约的资金,目前已有用户钱包内的资金被盗16万BUSD。

在此,成都链安安全团队特别提醒各位已参与此项目的用户,立即取消对该项目地址的授权,或立即转移钱包内的资金,避免造成二次损失。

BSC授权检查地址如下:

https://bscscan.com/tokenapprovalchecker

标签:MEEBNBXTZNFTMEET价格与你在一起bnb黄油场景iXTZ币snft币西班牙

FIL币热门资讯
LAYER:四种主流Rollup方案及热门DeFi Layer2进展盘点_LAYERX币

Layer2是2021年加密社区具有发展趋势的明确方向之一,而热门DeFi选择哪些Layer2技术进行扩展,是被行业密切关注的.

1900/1/1 0:00:00
比特币:Tim Draper:Netflix“可能”是下一家购买比特币的财富100强公司_NET

著名的投资者TimDraper认为Netflix是最有可能将比特币纳入资产负债表的大公司之一。亿万富翁TimDraper表示,Netflix可能是财富100强中下一家购买比特币的公司,而亚马逊将.

1900/1/1 0:00:00
ETH:Tether在纽约被禁后若引发寒蝉效应 交易所如何应对?_tether

无论是传统金融,还是数字金融,在没有监管和监督前提下,不可能寄希望于这些发行方行善不作恶。另一方面,监管也应该加大力度确保稳定币发行方透明度,保证稳定币抵押物真实存在.

1900/1/1 0:00:00
AMM:AMM终极笔记:五大类无常损失解决方案_PegsUSD

前言——《AMM终极笔记》是对诸多代表性AMM项目和相关论文进行的一项综述,由于AMM所涉及层面较为广泛,本文选取我们认为最能代表AMM本质特征以及未来发展方向的无常损失进行讲解.

1900/1/1 0:00:00
区块链:法律分析 | 区块链链上数据的权属认定_Blockearth

|合规联盟原创出品?|区块链是一个去中心化的分布式数据库,由若干数据区块连接而成,其中保存着公开透明、不可更改的数据信息.

1900/1/1 0:00:00
BTC:为什么我坚信牛市还在?BTC已被我纳入养老计划_Cred

从22日暴跌那一天,几乎每次大跌,都有币友在群里、或者私聊小蜜蜂问“是不是熊市来了?”小蜜蜂每次都回答说“我觉得牛还在”。其实,偶尔我也会有一点恐慌.

1900/1/1 0:00:00