火星链 火星链
Ctrl+D收藏火星链

BLUR:上线不到1天就携款跑路,3000万美金被卷走:Meerkat Finance跑路事件分析

作者:

时间:1900/1/1 0:00:00

安全态势感知平台]舆情监测,BSC生态DeFi项目Meerkat?Finance疑似跑路,其自称金库合约遭遇到黑客攻击,黑客利用漏洞盗取了金库中的全部资金。目前该项目网站已经无法打开。

原文链接如下:

https://www.bishijie.com/kuaixun/909558.html

成都链安安全团队第一时间针对该事件启动安全响应,针对用户攻击地址:

进行跟踪。经过跟踪攻击者地址,我们发现,攻击者分别地一次性地将大量资金进行转出,如图1所示。尽管官方自称是遭遇了黑客攻击,但根据我们的分析结果,基本能够断定MeerkatFinance项目方已经跑路。

数据:BLUR鲸鱼luggis.eth在Binance宣布上线BLUR后清仓1,769,125枚BLUR:金色财经报道,据推特用户余烬监测,在 Binance 宣布上线 BLUR 后,luggis.eth 是第一个清仓 BLUR 的鲸鱼,但他的成本却是上次整理的 BLUR 鲸鱼里最高的那个,他在 2/24-28 花费 150 万 USDC 买入 1,769,125 枚 BLUR,成本 0.85 美元。

4 小时前以 0.68 美元的价格割肉清仓,亏损 30 万美元,亏损率 20%。[2023/4/28 14:32:16]

△图1

Coinbase将LDO、WAXL添加至资产上线路线图:10月17日消息,据官方推特,Coinbase宣布将Lido DAO(LDO)、Wrapped Axelar(WAXL)添加至资产上线路线图。[2022/10/17 17:28:54]

二、事件分析

紧接着,我们开始针对转移盗窃资金的两笔交易进行分析,发现攻击者直接通过调用金库合约的一个函数,将金库合约中的资金全部转走;而金库合约使用的是可升级的代理合约,也就是实际逻辑是可以进行更改的,其权限在项目方。

聚币Jubi将于4月3日上线TRIBE:聚币Jubi将于2021年4月3日(UTC+8)上线TRIBE,开启TRIBE/USDT交易市场。上线后在聚币存入TRIBE 可限时获得“存币即挖矿”双倍算力奖励。

FeiProtocol支持创建基于以太坊的去中心化、可扩展且公平的稳定币。TRIBE是该协议的治理代币。[2021/4/2 19:41:50]

△图3

△图4

根据记录还可得出,项目方在WBNB金库盗窃中,代理合约的实际逻辑还是正常的金库合约,在攻击时才将合约逻辑替换成存在后门的合约。但是在盗取BUSD的交易中,项目方索性扯下了自己的“遮羞布”,一开始就部署的是存在后门的合约。如图5所示:

△图5

成都链安安全团队发现两次攻击所用的后门合约都是同一套代码,我们在对其中一个合约进行反编译时分析发现,其就是一个将代币进行转移的函数。如图6所示:

△图6

最终,我们得出结论,本次事件显然是项目方预谋的钓鱼事件,从一开始就是奔着跑路去的;而在本次事件中,代码层的罪魁祸首就是“可升级的代理合约”给予了项目方过大的权限,导致项目方盗取用户资金,如同探囊取物。

三、安全建议

成都链安安全团队认为,对于“可升级的代理合约”,在审计角度来看,为了保证项目的可维护性和迭代可能,保留这类权限并不是不可取的。

即使在日常的安全审计工作中,我们也不能要求项目方取消这类权限。但权力是一把双刃剑,是好是坏则取决于使用它的人。在成都链安出具的安全审计报告中,我们一直以来都有对此类权限加以说明。同时,在这里有必要提醒广大用户选择投资项目时,一定要详细阅读安全审计报告中的细节描述,特别是我们给出的潜在风险提示及安全建议。

最后,需要引起注意到是,我们监测到攻击者在使用transferFrom函数盗取用户钱包内已授权给金库合约的资金,目前已有用户钱包内的资金被盗16万BUSD。

在此,成都链安安全团队特别提醒各位已参与此项目的用户,立即取消对该项目地址的授权,或立即转移钱包内的资金,避免造成二次损失。

BSC授权检查地址如下:

https://bscscan.com/tokenapprovalchecker

标签:BLUBLURTRIBTRIblur币能涨到多少blur币初始价格tribe币下架TRIO币

欧易交易所app下载热门资讯
BIT:一文速览NFT生态蓝图

编者按:本文来自?加密谷Live,作者:KevinandSteven,翻译:Jeremy,Odaily星球日报经授权转载.

1900/1/1 0:00:00
DEFI:什么是 DeFi ?

DeFi是DecentralizedFinance的英文简写,直译过来是“去中心化金融”,实际是指,建立在区块链网络上的各类去中心化协议.

1900/1/1 0:00:00
NFT:金色观察|NBA球队达拉斯独行侠接受狗狗币支付

3月5日消息,作为与加密支付服务提供商BitPay合作协议的一部分,NBA球队达拉斯独行侠很快将接受狗狗币支付。此前小牛队已经接受接受比特币付款,它是第二支接受接受比特币的NBA球队.

1900/1/1 0:00:00
比特币:3.5比特币以太坊过山车式的行情多空来回洗盘 后市该如何把握

大家晚上好,我是玩币队长。其实对于币圈的交易来说,操作其实是一个长期的过程,有快乐,有心酸,甚至有时候很痛苦,但这就是市场,不仅仅是为了赚钱,更重要的是培养赚钱的意识和资金的利用方法.

1900/1/1 0:00:00
DEFI:金色DeFi日报 | DeFi中锁定资产超400亿美元

DeFi数据1.DeFi总市值:782.94亿美元市值前十币种排名数据来源DeFiboxDeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:21.

1900/1/1 0:00:00
BLO:这些因素可能影响着比特币的短期前景的变化

原标题:比特币的短期前景可能取决于这些因素的变化比特币在过去的一个月里价格波动很大,在2021年初创下了历史新高,同时也出现了强劲的回调.

1900/1/1 0:00:00