一、事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
CoinList已上線NEON,支持NEON/USDT等交易對:7月18日消息,據官方消息,CoinList宣布上線NEON,符合條件的用戶現可直接在CoinList上購買、出售和交易NEON。CoinList目前支持NEON/USD、NEON/USDC、NEON/USDT、NEON/BTC和NEON/ETH交易,CoinList Pro支持NEON/USDT交易。[2023/7/18 11:01:09]
圖1
基于Nervos區塊鏈的穩定幣協議Nexis即將上線:據官方消息,基于公鏈Nervos Network的開源去中心化自治組織NexisDAO將于近期上線內測。據了解,NexisDAO運行一個名為“Nexis協議”的穩定幣系統。在該系統中,用戶可通過鏈上資產的足額抵押,生成擔保型美元穩定幣TAI。作為Nervos區塊鏈上的穩定幣協議,Nexis或將成為Nervos生態中的基礎設施之一。[2021/8/19 22:24:00]
圖2
二、事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
動態 | 去中心化交易協議0x上線開發者工具Asset Swapper:去中心化交易協議0x宣布上線一款開發者工具 Asset Swapper,開發者可將 Asset Swapper用在智能合約中,只需單行代碼即可實現基于以太坊的代幣交易,或者為更高級的代幣交易構建自定義集成。該工具可使 DeFi 項目自動獲取來自從0x網絡中的流動資金,并將其傳遞給智能合約,以最優價格成交訂單。[2019/8/22]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
三、安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?
比特幣的未來是所有人關心的話題,歷史數據常常能給人以啟示。作為加密領域的「Palantir」,區塊鏈分析公司Chainalysis自2014年創立以來就開始為包括美國聯邦調查局、國稅局和特勤局在.
1900/1/1 0:00:00安全生產簡析下meerkat跑路事件 一、核心問題 1.AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換2.
1900/1/1 0:00:003月2日,Cointelegraph發了一條快訊:特斯拉汽車創始人埃隆·馬斯克妻子、音樂家ClaireEliseBoucher在不到20分鐘的時間里在NiftyGateway出售了價值580萬美.
1900/1/1 0:00:00據TheBlock3月3日消息,區塊鏈項目LazyLedgerLabs已獲得150萬美元的種子輪融資.
1900/1/1 0:00:00據TheBlock3月8日報道,比特幣交易和托管服務提供商紐約數字投資集團周一宣布,完成2億美元的成長資本輪融資.
1900/1/1 0:00:00行情顯示,美元指數DXY短線走低近10點;歐元兌美元EUR/USD短線走高逾10點,現報1.1955。行情顯示,十年期美債收益率跌至1.50%下方,日內跌1.28%,為一周以來新低.
1900/1/1 0:00:00