比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE幣 > Info

上線不到1天就攜款跑路,3000萬美金被卷走:Meerkat Finance跑路事件分析_newton

Author:

Time:1900/1/1 0:00:00

安全態勢感知平臺]輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。

原文鏈接如下:

https://www.bishijie.com/kuaixun/909558.html

成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址:

進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定MeerkatFinance項目方已經跑路。

幣贏CoinW將于8月31日14:00在DeFi專區上線NEWTON:據官方消息,幣贏CoinW將于8月31日?14:00在DeFi專區上線NEWTON/USDT交易對,同時開啟“充值送NEWTON,-0.1%Maker費率”活動。

據悉,NEWTON是新型挖礦項?,與別的挖礦項?不同的是,這個項?想要參與挖礦必須要持有Newton代幣才行。項?按階段進?果實收獲,每?天為?個季節,即收獲?次。[2020/8/31]

△圖1

掌柜調查署|鐘庚發:Filecoin主網上線前直接購買礦機存在風險,云算力相對風險小:在今日舉行的掌柜調查署中,ChainUP創始人兼CEO鐘庚發表示,我補充一下什么是有效算力,我們買的Filecoin礦機的硬盤存儲空間大小和有效算力不是一個概念,有效算力是指往硬盤里封裝了可以產生收益的數據量。這個封裝的過程是需要時間的,同等成本每T封裝時間越短,性價比越高。首先是要有基本的判斷能力,云算力投資上面提的兩個指標非常容易進行判斷。另外主網上線前個人直接購買礦機還是存在一些變化風險,云算力相對風險小。另外建議用戶選擇有實力和品牌背書的平臺,不要信任任何收益的承諾,主網沒有上線前整個網絡的算力和Fil的價格都沒有確定,收益也是不確定的。[2020/7/4]

二、事件分析

動態 | 海淀區上線基于區塊鏈的中小企業供應鏈金融服務平臺 預計下周將實現首筆放款:金色財經報道,2月7日,海淀區建立“基于區塊鏈的中小企業供應鏈金融服務平臺”,通過區塊鏈技術實現確權,建立長效清欠工作機制,同時為中小企業提供供應鏈金融服務,強化中小企業健康平穩發展的資本支撐。該平臺已于2月7日正式上線,先期在海淀區范圍內開展試點,海淀區中小企業可通過平臺申請對海淀區政府部門采購、區屬國企采購合同進行確權,并依據確權證明發起融資申請,預計下周將實現首筆放款。

2月7日,中關村科學城管委會產業一處處長舒畢磊表示,針對中小企業融資痛點問題,海淀區在政府單位、國有企業和中小企業間廣泛開展調研,形成了利用區塊鏈技術不可篡改、多方共識等特性,實現可信確權及合同履約監管,并以此為切入點完善供應鏈金融服務的解決思路,同時為中小企業獲得賬款確權、解決融資需求打造更加便捷的線上辦理平臺。(北京商報)[2020/2/7]

緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。

△圖3

△圖4

根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:

△圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:

△圖6

最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。

三、安全建議

成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。

即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。

最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。

在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。

BSC授權檢查地址如下:

https://bscscan.com/tokenapprovalchecker

Tags:WTOTONNEWnewtonnewton幣行情MEETONENEWINU幣

PEPE幣
Bitfly20210209快訊_TFL

Bitfly官方渠道: Bitfly官網:https://www.bitfly.coBitfly微博:https://weibo.com/bitflyglobal今年1月迄今加密貨幣基金普漲.

1900/1/1 0:00:00
DeFi會給金融行業帶來什么?_EFI

用智能合約實現金融會是一種什么形態?諸如Libra或者央行數字貨幣,將來如果附加上智能合約,應該怎么去設計?隨著區塊鏈技術與金融結合的想象邊界不斷拓展,去中心化金融的出現或許能帶來一些啟示.

1900/1/1 0:00:00
Filecoin價格背后的價值與什么有關?_LEC

代幣價值意味著加密協議代幣的效用或價值。代幣價格只是一種價值的數字體現,在任何時候,買家都愿意購買,賣家也愿意出售代幣。與代幣價格相比,代幣價值是一個更加難以捉摸的概念.

1900/1/1 0:00:00
Bitfly20210223快訊_BIT

Bitfly官方渠道: Bitfly官網:https://www.bitfly.coBitfly微博:https://weibo.

1900/1/1 0:00:00
關于LBank藍貝殼調整trc20-USDT提現手續費的公告_ANK

尊敬的LBank藍貝殼用戶:藍貝殼將于2021年03月04日22:00調整波場網絡(trc20)USDT的提現手續費為0.2USDT.

1900/1/1 0:00:00
Bitfly20210228快訊_TFL

Bitfly官方渠道: Bitfly官網:https://www.bitfly.coBitfly微博:https://weibo.

1900/1/1 0:00:00
ads