以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > KuCoin > Info

MEE:Meerkat Finance跑路事件分析:上線不到1天就攜款跑路,3000萬美金被卷走

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目MeerkatFinance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原地址如下:https://www.bishijie.com/kuaixun/909558.html成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址:進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定MeerkatFinance項目方已經跑路。

Mee6:員工帳戶遭入侵導致被用來發布虛假信息,目前已解決:5月19日,官方消息,Mee6表示,系統沒有技術漏洞,Mee6被用來發布虛假信息是因為一名員工的帳戶遭到入侵。該問題現已解決,我們已采取所有措施確保它不再發生。

此前消息,Axie Discord主服務器上的Mee6機器人遭攻擊發布虛假鑄造鏈接,許多安裝了Mee6機器人的服務器都發生了這種情況。Moonbirds、PROOF、RTFKT、Memeland等多個NFT項目的Discord疑似遭遇攻擊。[2022/5/19 3:27:38]

Animoca Brands旗下游戲公司GAMEE將與曼城足球俱樂部聯合推出P2E游戲:4月29日消息,據官方公告, Animoca Brands旗下的休閑移動游戲子公司GAMEE與曼城足球俱樂部合作,將在提供加密獎勵P2E游戲平臺上推出一款名為《曼城前鋒》的足球游戲。GAMEE將在《曼城前鋒》舉辦比賽,玩家將能夠獲得加密貨幣作為獎勵。據悉,Arc8 目前擁有20萬月活用戶,未來幾周還將宣布與其他品牌的合作關系。[2022/4/29 2:39:34]

△圖1

NFT項目Meebits24小時交易量超3000萬美元,漲幅達118.95%:3月3日消息,據NFTGO.io數據顯示,NFT項目Meebits交易量突增,總交易額突破29.2億美元。24小時交易量達32,134,294.84美元,漲幅達118.95%。[2022/3/3 13:35:36]

△圖2二、事件分析

緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。

MeebitsDAO在SZNS上將20個MeebitsNFT碎片化為10萬枚MBBT代幣:11月22日消息,MeebitsDAO在NFT碎片化平臺SZNS上將20個MeebitsNFT碎片化為10萬枚MBBT代幣,將NFT碎片化主要為了擴大MeebitsNFT的所有權,這些NFT由Meebits創始人借出或捐贈。5萬枚MBBT代幣將分配給MeebitsNFT的捐贈或借出者,剩余5萬枚MBBT代幣將公開銷售,售價0.005ETH。[2021/11/22 22:08:55]

△圖3

△圖4根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:

△圖5成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:

△圖6最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。三、安全建議

成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。

最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker

Tags:MEENFTBITITSmeet幣有潛力嗎BNFTbitop交易所iosBitSG Token

KuCoin
數字貨幣:投資的三要素

在前面的文章中,我曾經和大家分享過高瓴資本張磊的新書《價值》中的一些觀點。張磊是我一直比較關注的風投人士,他的很多觀點非常有啟發性,有些我自己都有親身的體會.

1900/1/1 0:00:00
GMT:行情分析:突破6萬美元的比特幣可能還并不是終點

BTC行情分析 周末兩天有事,所以斷更兩天。再寫時,6萬大關的BTC已經初出江湖,睡蟲拜大哥一揮手就是近2萬億的單子,果然對于家而言,一切手段不過都是服務.

1900/1/1 0:00:00
ING:行情分析:以太坊或成本輪行情的新龍頭

行業要聞 1、ETCGroup將在德意志交易所推出以太坊ETP。2、CPA報告顯示,法國央行考慮將Ripple和XRP作為發行數字歐元的平臺。3、500彩票網將變更中國業務名稱為“比特礦業”.

1900/1/1 0:00:00
TAL:門格爾:論貨幣的起源

編者按:本文來自以太坊愛好者,作者:CarlMenger,翻譯&校對:閔敏&阿劍,Odaily星球日報經授權轉載.

1900/1/1 0:00:00
AMA:印度擬立法禁止加密貨幣?財長:并非關閉所有加密窗口

編者按:本文來自金色財經,Odaily星球日報經授權轉載。印度儲備銀行堅持其對加密貨幣的立場,并已向政府轉達了其尋求禁止此類工具的決定,此前印度儲備銀行已表示嚴重關切.

1900/1/1 0:00:00
區塊鏈:V神發布“多項式承諾”圖解,它會給以太坊帶來哪些好處?

編者按:本文來自BitpushNews,作者:AmyLiu 多項式承諾與Halo和以太坊未來的升級有關,可將無狀態以太坊客戶端的見證數據大小減少到接近于零,并實現更好的可擴展性.

1900/1/1 0:00:00
ads