比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

上線不到1天就攜款跑路,3000萬美金被卷走!Meerkat Finance事件解析_USD

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接

成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。

火必即將上線SUI/USDT本位永續合約:據官方消息,火必將于5月3日正式上線 SUI (Sui Network) 現貨交易后,盡快上線SUI/USDT本位永續合約。據此前消息,SUI將于北京時間5月3日20時正式啟動主網,火必將在第一時間開放充值并上線SUI/USDT交易對。[2023/5/3 14:40:11]

圖1

圖2

二、事件分析

緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。

STAKE上線 Huobi 上線漲89%:據Huobi行情,Huobi Global“全球觀察區”已于2021年4月20日17:30 (GMT+8) 開放STAKE幣幣交易。截至18:00,STAKE 最高漲至29.47 USDT,最高上漲89.76%,現報價為23.5USDT,上漲20.5%。行情波動較大,請注意風險控制。同時Huobi 上線交易 STAKE、鎖倉HT&STAKE 獎勵 12400個 STAKE 新幣活動,按照現價獎勵約29萬USDT。[2021/4/20 20:40:37]

火幣APP端正式上線永續合約:據火幣官方消息,火幣APP已于今日完成發版升級,現APP端正式上線永續合約。據了解,火幣APP將支持安卓和IOS端用戶進行劃轉、交易等操作,目前安卓APP已完成相關功能更新(最新版本為5.6.3版本),IOS端的更新將于近日完成。用戶APP更新完成后,凡開通永續合約交易的火幣用戶均可通過APP進行永續交易相關操作。

目前,火幣已覆蓋BTC、ETH、BCH、BSV四大主流幣種的永續合約交易,EOS、LTC和XRP永續合約也將于4月10日18點正式上線,待完成后火幣將在Web端、API端和APP端支持此七大主流幣種的永續合約操作。

據了解,火幣永續合約沒有到期日或交割日,是通過“資金費用機制”來讓永續合約價格錨定現貨價格,每8小時結算一次,每次結算后會將已實現盈虧、未實現盈虧轉到用戶賬戶余額中。在交易功能上,火幣永續合約提供限價委托、計劃委托、閃電平倉、只做Maker、IOC和FOK等多種委托方式。此外,火幣永續合約還支持階梯調整系數和階梯強平機制,并率先在永續合約中啟用強平熔斷機制。

在合約大數據方面,APP端支持查看各幣種在火幣合約24h永續合約成交量和持倉量,永續合約精英用戶多空對比(賬戶數)和精英用戶多空對比(持倉量),以及各幣種對應的強平訂單、結算記錄和資金費率等信息。[2020/4/9]

圖3

圖4

根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:

圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:

圖6

最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。

三、安全建議

成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。

最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。

在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。

BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?

Tags:APPUSDUSDTSTAimtoken官網正版appUSDN幣imtoken里的usdt提現人民幣教程bitstamp交易所

以太坊交易所
JINSE Hackathon波卡黑客松大賽報名征集中_NET

由金色財經、Subscript技術社區、polkadot.club聯合發起;JINSEHackathon主辦;區塊動力、Candaq、密碼極客聯合主辦;火幣波卡生態基金首席合作企業的波卡黑客松大.

1900/1/1 0:00:00
AMM始祖Bancor逆襲,下一步能否借道Layer2反超Uniswap?_BNT

作者:火星投研宋清華梅寧航Bancor會是2021年DEX的一匹黑馬嗎?如果根據過去幾個月的表現,我們會做出這樣的判斷;但是因為如果高昂的gas費沒有解決,憑本事搞來的流動性也會憑本事丟掉.

1900/1/1 0:00:00
鏈上數據詳解丨比特幣天量易手后,新參與者助推新一輪牛市?_SOP

本周,比特幣市場的波動性有所下降,令人印象深刻的是,盡管股市與貴金屬市場的表現都非常疲弱,但BTC依舊維持在WillyWoo于上周提出的4.5萬美元鏈上支撐位上方.

1900/1/1 0:00:00
Cosmos前首席開發員Zaki Manian推出新DeFi項目Sommelier,已籌集350萬美元種子輪資金_COS

據TheBlock3月10日報道,加密社區中廣為人知的Cosmos區塊鏈首席開發人員ZakiManian周三宣布,啟動其下一個項目Sommelier.

1900/1/1 0:00:00
別以為英偉達開始打擊挖礦 你就能買到新顯卡了_THE

差不多今天凌晨的時候,有幾個筒子在編輯部的群里發了這么一條消息:“英偉達要開始打擊挖礦了,我們終于有機會買到新顯卡了!?”?Geforce屬于玩家.

1900/1/1 0:00:00
Vitalik:值得考慮刪除的EVM功能_以太坊

前言:為什么“合并”是我們刪掉一些東西的最后機會,以及為什么我們應該這樣做到2020年,我們對如何設計智能合約和區塊鏈協議的理解已經遠超2013-15年.

1900/1/1 0:00:00
ads