注:原文來自rekt。
回想起來,這是不可避免的。
這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件,MeerkatFinance丟失的資金排到了排行榜的第三位。
在僅僅運營一天之后,MeerkatFinance就卷走了1300萬BUSD以及大約73000BNB,目前涉及資金總額約為3100萬美元。
我們一直在觀察幣安智能鏈,其網絡似乎正復制以太坊DeFi夏天的發展走勢,當一些項目方通過復制的代碼建立足夠的資本后,就出現了卷款跑路的現象。
而這一事件的后續,將會是一種非常有趣的情況。
CZ及其團隊會不會回滾他們的公司鏈,或者就這么讓用戶遭受損失?
分析 | BTC難以突破2018年6月低點 或將回調以為6000美元目標做準備:據CoinDesk分析認為,事實證明,2018年6月的低點,即5780美元很難突破。BTC連續三天未能收在該水準之上,暗示BTC可能需要回落,才能推動BTC持續走高至6,000美元。BTC正在創造一個雙頂看跌反轉模式,在4小時圖上,頸線支撐位在5510美元。如果跌破該點位,可能會重新測試MA30,目前為5294美元。如果收盤價低于MA30下方,將轉而跌破5000美元。[2019/5/6]
這樣的騙局使得小偷無處藏身,在這么一條鏈上,他們能跑到哪里去呢?幣安關閉了橋梁,甚至bscscan.com也暫停了一會兒。是流量太大,還是某種類型的煙幕彈?
MeerkatFinance最初聲稱這是一次黑客攻擊,但隨后該項目方刪除了他們的賬戶,只剩下BSC用戶自己,或者去怪幣安。
分析 | 比特幣價格雖小幅反彈 但熊市依然存在:據coindesk分析,比特幣從六周低點的小幅反彈,可能會進一步擴大至3,500美元上方,連續的早晨之星代表空投能量不足,盡管周一的高成交量區間被打破。但突破10天低點3,511美元,將繼續試探3,658美元的關鍵阻力位。如果BTC能站穩3,658美元上方,前景將變得樂觀。如果跌破10日均線,熊市將持續,并可能會跌至12月低點3122美元。而下方的支撐將是200周均線3,298美元附近。
比特幣已從昨日的6周低點略有回升,可能會在短期內反彈至3500美元。比特幣目前的交易價格是3,416美元,周二曾觸及3,322美元的低點,這一水平上次出現是在12月17日。[2019/1/30]
感謝0xdeadf4ce提供的幫助。
MeerkatFinance部署者升級了該項目的2個金庫。
攻擊者地址通過Vault代理調用無需許可初始化函數,有效地允許任何人成為Vault所有者。
分析 | FGI恐慌指數 24:金色獨家分析:FGI恐慌指數10月19日顯示為24,恐慌指數等級為極度恐懼,市場在新的趨勢形成前,短期內沒有參與價值。提醒投資者應保持理性判斷,做好風險控制。[2018/10/20]
攻擊者隨后通過調用簽名為0x70fcb0a7的函數來耗盡金庫,該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯,顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。
通常,如果合約具有允許所有者主動取回策略/金庫中使用資產的函數,那么你就是在信任這個項目團隊。
而他們可以隨時選擇跑路。
這就是為什么像yearn這樣的項目會添加如下圖所示的檢查函數,這樣項目方就只能取回那些沒有被策略/機槍池所使用的資金。
分析 | Tether近日并未增發USDT:公開數據顯示,Tether區塊高度536312新增價值5000萬美元的Token。經查詢,該筆交易并非增發,原因有三。一是該筆交易的發出方與USDT發行地址不符。該筆交易的發出方為1NTMakcgVwQpMdGxRQnFKyb3G1FAJysSfz,并非Tether官網給出的發行地址。二是該筆交易的性質是轉賬,而以往增發的交易性質為“Grant Property Tokens”。三是據統計,截至8月6日,Tether官網顯示USDT總量為30.2億美元,與今日顯示的總量相同,沒有變化。數據公司Chaindigg也證實了該筆交易并非增發,且Chaindigg USDT監控助手同樣顯示,在6月25日后沒有發生過USDT增發。[2018/8/13]
兩個受影響的金庫都使用了OpenZeppelin的透明代理升級模式,通過在Vault代理級別上調用upgradeTo函數,可以將Vault邏輯升級到新的邏輯實現。
分析 | 金色盤面:BTC/USDT 底背離反彈醞釀中:金色盤面綜合分析:BTC/USDT在大跌之后,走出了橫盤整理,目前MACD背離條件已經具備,除非繼續加速急跌,否則很難消失,而DMI也有背離,目前需要耐心等待買入時機。[2018/8/11]
BUSD金庫的先前實現部署在0x49509a31898452529a69a64156ab66167e755dfb,而WBNB金庫的先前實現部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271,兩者都是相當不起眼的。
MeerkatFinance部署者調用了upgradeTo函數兩次:
在區塊高度5381239時,將WBNBVault實施地址設置為0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
在區塊高度5381246時,將BUSDVault實施地址設置為0xb2603fc47331e3500eaf053bd7a971b57e613d36;
這改變了金庫邏輯,引入連個值得注意的函數,而它們并非是最初實現的一部分。
init(地址所有者)
根據反編譯字節碼,此函數將存儲slot0上的地址設置為提供給該函數的地址;
無需權限檢查,這個新添加的函數成為了攻擊者闖入金庫的最終后門。
在透明代理中使用特定的Initializer模式是最佳實踐,并且已在第一個Vault實現中應用,因此除了計劃盜竊Vault資金之外,添加init方法的意圖也是非常值得懷疑的。
0x70fcb0a7(address_param1)
源代碼不可用,反編譯源僅限于檢查調用者是否等于init方法中設置的存儲slot0,并使用金庫地址作為查詢目標,轉出param1隨附的代幣合約上的balanceOf。這兩種功能都不是以前Vault實現的一部分。
比較新舊實現的字節碼大小,我們可以發現,新實現的字節碼大小僅為以前邏輯的1/4。
由于升級是MeerkatFinance部署者完成的,考慮到鏈上數據的所有方面,因此這次事件最有可能的情況是蓄意的跑路事件,而私鑰泄露的可能性是非常小的。
截至這篇文章發布時,被盜資金的部分已被分配到不同的地址,并被發送到似乎屬于幣安交易所托管的幣安橋。
Binance.org橋目前已暫停,可能是為了避免資金被輕易轉移到其他區塊鏈。
時間線
2021年3月4日上午UTC時間08:53:10,MeerkatFinance部署者將WBNB金庫改到合約0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
2021年3月4日上午UTC時間08:53:31,MeerkatFinance部署者將BUSD金庫改到合約0xb2603fc47331e3500eaf053bd7a971b57e613d36;
2021年3月4日上午UTC時間08:54:31,攻擊者調用BUSD金庫上的0x70fcb0a7方法以轉出13,968,039BUSD
2021年3月4日上午UTC時間08:54:55,攻擊者調用WBNB金庫上的0x70fcb0a7方法以轉出73,635WBNB
同樣的把戲在不同的鏈上發生過,但權力的平衡是不同的。在CZ的監視下,橋梁被燒毀了,強盜無處藏身。
即使是在Meerkat_Rugpull電報群中,關于幣安如何處理這種情況的問題,聊天成員們也沒有達成共識。
幣安會回滾區塊鏈并將錢退給用戶嗎?
答案并不是那么清晰,21名神秘驗證者理論上可以安排退款,但可能性并不大,這只會助長CeDeFi的問題,并為BSC律師創造更多的工作。
幣安如何處理這次事件,可能會開創一個先例。
雖然這并不是發生在BSC上的第一次卷款跑路事件,但這是自PancakeSwap興起以來的第一次,也是涉及金額最大的一次。.
因此,我們發現,在BSC上的協議并不比在以太坊安全。
CZ不會救你,他們的交易確實便宜了,但沒有獨創的發展。
一旦以太坊Layer2落地了,BSC這條企業鏈將會變成什么樣?
3月5日,Twitter創始人杰克·多西在推特上發布了一個新的應用程序,該程序允許人們使用ETH“購買”推文.
1900/1/1 0:00:00躁動的幣圈,無時無刻不在上演著激動人心的故事。這邊,某小幣成功實現百倍幣的“壯舉”,那邊,某玩家卻因爆倉而自殺。區塊鏈從不缺乏故事,只是缺少好故事.
1900/1/1 0:00:002月25月,基于以太坊的足球NFT收藏游戲Sorare宣布完成5000萬美元融資,Benchmark領投.
1900/1/1 0:00:00《覓新》是金色財經推出的一檔區塊鏈項目觀察類項目,覆蓋行業各領域項目發展情況,具體設計到項目概況、技術進展、募資情況等,力圖為您呈現熱門新潮的項目合輯.
1900/1/1 0:00:00在亞洲地區,比特幣、以太坊的基金產品已經被陸續推出,將吸納更多傳統資金進入。3月10日,比特幣早間再次突破5.5萬美元。各大機構的加持對此功不可沒.
1900/1/1 0:00:00鑄造價值代幣的秘密:解析代幣架構實用性機制設計 火星財經 剛剛 24 原標題:解析代幣架構,原來價值代幣這樣“鑄造”牛市正在進行中!當下牛市所引發的新幣熱潮絕對是現象級反應.
1900/1/1 0:00:00