BTC/HKD+1.97%
ETH/HKD+0.89%
LTC/HKD+0.75%
DOT/HKD+2.92%
ADA/HKD+4.11%
SOL/HKD+1.95%
XRP/HKD+2.78%
DOGE/US+3.3%事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
原文鏈接如下:
https://www.bishijie.com/kuaixun/909558.html
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
Binance Labs 宣布戰略投資 RPG 游戲 Tatsumeeko:金色財經報道,Binance Labs 宣布戰略投資 RPG (角色扮演)游戲 Tatsumeeko。Tatsumeeko 是一款可在 iOS、Android 和 Web 上使用的 Discord 角色扮演游戲,可無縫且引人入勝地向用戶介紹加密貨幣和 NFT 的世界。通過這項投資,Tatsumeeko 將繼續開發將在以太坊和 Solana 上發布的 MMORPG-lite 體驗。[2022/6/9 4:14:38]
Titans Ventures與跨鏈DeFi協議Umee建立戰略合作伙伴關系:11月26日,越南區塊鏈風投機構Titans Ventures與跨鏈DeFi協議Umee建立戰略合作伙伴關系,旨在讓雙方用戶獲得更好的DeFi及互操作性服務。[2021/11/26 12:34:34]
圖1
圖2
事件分析
FAMEEX網格交易大賽10天總成交量超120萬USDT:據FAMEEX官方數據,“網格交易大賽火力全開,狂撒4888 USDT”活動交易情況如下:參與用戶超70,000人,總成交額超1,200,000 USDT,參賽用戶的最高收益率達7%。
此次網格大賽于6月22日0點開啟,7月1日0點圓滿結束,共計持續10天,送出4888 USDT。
FAMEEX官方表示,“為回饋社區新老用戶,給投資者帶來新的交易法,FAMEEX每月都會舉辦網格交易大賽。網格策略交易是FAMEEX平臺的主打功能,意在讓數字資產投資者享受不用盯盤便可獲得穩定收益的交易體驗。”[2020/7/2]
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
火幣全球Meetup英國站開啟,Penta、elastos等作為重點項目在火幣英國活動中展示:火幣全球Meetup第一站“英國交易為王”當地時間4月17日在倫敦The Leadenhall Building 42樓盛大舉辦,眾多英國資深區塊鏈嘉賓以及多位知名投行高管和核心項目負責人參與、介紹火幣重大戰略項目。Penta、elastos等作為精選項目被重點展示。[2018/4/18]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
近日,清華大學互聯網產業研究院、區塊鏈服務網絡、火幣研究院聯合發布的《全球區塊鏈產業全景與趨勢》指出,產業區塊鏈在2020年回歸技術本源,向著更落地的方向發展,在2021年將呈現四大發展趨勢.
1900/1/1 0:00:00作者:火星投研宋清華梅寧航Bancor會是2021年DEX的一匹黑馬嗎?如果根據過去幾個月的表現,我們會做出這樣的判斷;但是因為如果高昂的gas費沒有解決,憑本事搞來的流動性也會憑本事丟掉.
1900/1/1 0:00:00本文來源:澎湃新聞,作者:葉映荷歷經反轉再反轉,全球最大的比特幣礦機制造商比特大陸長達近一年半的“宮斗劇”終迎“大結局”.
1900/1/1 0:00:00從去年九月份至今,顯卡不僅缺貨嚴重,而且價格開始直線上升,包括全新發布的英偉達RTX?30系列以及AMD?RX?6000系列顯卡,加價幾千只是基本操作.
1900/1/1 0:00:00吳說作者|ColinWu本期編輯|ColinWu從Filecoin的經驗來看,以太坊EIP-1559升級后:整體由通脹轉向通縮,價格會受到刺激;網絡擁堵不會因此緩解.
1900/1/1 0:00:00如果回顧過去幾個月里加密貨幣行業發生的事情,你會發現市場表現非常樂觀。敘事固然重要,但數據同樣不會說謊,所以我們決定花些時間,通過數據來展示這段時間加密貨幣行業增長情況.
1900/1/1 0:00:00
比特幣交易所
