事件概览
北京时间2021年3月4日,根据舆情监测,BSC生态DeFi项目Meerkat?Finance疑似跑路,其自称金库合约遭遇到黑客攻击,黑客利用漏洞盗取了金库中的全部资金。目前该项目网站已经无法打开。
原文链接如下:
https://www.bishijie.com/kuaixun/909558.html
成都链安安全团队第一时间针对该事件启动安全响应,针对用户攻击地址
进行跟踪。经过跟踪攻击者地址,我们发现,攻击者分别地一次性地将大量资金进行转出,如图1所示。尽管官方自称是遭遇了黑客攻击,但根据我们的分析结果,基本能够断定Meerkat?Finance项目方已经跑路。
Meebits系列NFT地板价升至4.9ETH,24小时涨幅25.64%:金色财经报道,据NFTGo.io数据显示,Meebits系列NFT地板价现为4.9 ETH,24小时涨幅25.64%。此外,该系列24小时成交额为635.7万美元,总市值7.9亿美元。[2022/6/20 4:40:23]
图1
NFT项目Meebits 24小时交易量超330万美元,涨幅达426.19%:3月11日,据 OpenSea 数据显示,NFT 项目 Meebits 24 小时交易量达 1310.89 ETH(约合 330 万美元),涨幅达 426.19%,7 日涨幅达 603.37%。[2022/3/11 13:50:44]
图2
事件分析
紧接着,我们开始针对转移盗窃资金的两笔交易进行分析,发现攻击者直接通过调用金库合约的一个函数,将金库合约中的资金全部转走;而金库合约使用的是可升级的代理合约,也就是实际逻辑是可以进行更改的,其权限在项目方。
FAMEEX上线XTZ、BNB:据官方消息,FAMEEX平台于2020年7月8日上线XTZ、BNB两个币种。XTZ、BNB将于07月08日?16:00:00开放充提;将于07月08日18:00:00开放XTZ/USDT、XTZ/BTC、BNB/USDT、BNB/BTC、BNB/ETH币对交易。
FAMEEX是一家安全、流动性强、提供策略交易的数字资产交易平台,旨在最大限度地保障终端用户的操作体验和财产安全。投资者可以在FAMEEX进行币币、网格策略交易。[2020/7/8]
图3
声音 | Tuur Demeester:美联储向市场注入超1040亿美元,相当于比特币经损失调整后87%的市值:据华尔街日报报道,美国纽约联邦储蓄银行周四(10月17日)向金融市场注入了1041.5亿美元的临时流动资金。此次干预分为两个部分。其中一项是通过期限回购协议操作,该操作将持续15天,注入金额为306.5亿美元;另一项是通过为期一天的回购操作进行的,总额达735亿美元。对此,Adamant Capital创始合伙人Tuur Demeester评论称,美联储仅仅此次的量化宽松注入金额就达到了1040亿美元,这相当于比特币经过损失调整后87%的市值。[2019/10/19]
图4
根据记录还可得出,项目方在WBNB金库盗窃中,代理合约的实际逻辑还是正常的金库合约,在攻击时才将合约逻辑替换成存在后门的合约。但是在盗取BUSD的交易中,项目方索性扯下了自己的“遮羞布”,一开始就部署的是存在后门的合约。如图5所示:
图5
成都链安安全团队发现两次攻击所用的后门合约都是同一套代码,我们在对其中一个合约进行反编译时分析发现,其就是一个将代币进行转移的函数。如图6所示:
图6
最终,我们得出结论,本次事件显然是项目方预谋的钓鱼事件,从一开始就是奔着跑路去的;而在本次事件中,代码层的罪魁祸首就是“可升级的代理合约”给予了项目方过大的权限,导致项目方盗取用户资金,如同探囊取物。
安全建议
成都链安安全团队认为,对于“可升级的代理合约”,在审计角度来看,为了保证项目的可维护性和迭代可能,保留这类权限并不是不可取的。即使在日常的安全审计工作中,我们也不能要求项目方取消这类权限。但权力是一把双刃剑,是好是坏则取决于使用它的人。在成都链安出具的安全审计报告中,我们一直以来都有对此类权限加以说明。同时,在这里有必要提醒广大用户选择投资项目时,一定要详细阅读安全审计报告中的细节描述,特别是我们给出的潜在风险提示及安全建议。
最后,需要引起注意到是,我们监测到攻击者在使用transferFrom函数盗取用户钱包内已授权给金库合约的资金,目前已有用户钱包内的资金被盗16万BUSD。
在此,成都链安安全团队特别提醒各位已参与此项目的用户,立即取消对该项目地址的授权,或立即转移钱包内的资金,避免造成二次损失。
BSC授权检查地址如下:
https://bscscan.com/tokenapprovalchecker
Layer2是2021年加密社区具有发展趋势的明确方向之一,而热门DeFi选择哪些Layer2技术进行扩展,是被行业密切关注的.
1900/1/1 0:00:00著名的投资者TimDraper认为Netflix是最有可能将比特币纳入资产负债表的大公司之一。亿万富翁TimDraper表示,Netflix可能是财富100强中下一家购买比特币的公司,而亚马逊将.
1900/1/1 0:00:00无论是传统金融,还是数字金融,在没有监管和监督前提下,不可能寄希望于这些发行方行善不作恶。另一方面,监管也应该加大力度确保稳定币发行方透明度,保证稳定币抵押物真实存在.
1900/1/1 0:00:00前言——《AMM终极笔记》是对诸多代表性AMM项目和相关论文进行的一项综述,由于AMM所涉及层面较为广泛,本文选取我们认为最能代表AMM本质特征以及未来发展方向的无常损失进行讲解.
1900/1/1 0:00:00|合规联盟原创出品?|区块链是一个去中心化的分布式数据库,由若干数据区块连接而成,其中保存着公开透明、不可更改的数据信息.
1900/1/1 0:00:00从22日暴跌那一天,几乎每次大跌,都有币友在群里、或者私聊小蜜蜂问“是不是熊市来了?”小蜜蜂每次都回答说“我觉得牛还在”。其实,偶尔我也会有一点恐慌.
1900/1/1 0:00:00