一、事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目MeerkatFinance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原地址如下:https://www.bishijie.com/kuaixun/909558.html成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址:進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定MeerkatFinance項目方已經跑路。
Mee6:員工帳戶遭入侵導致被用來發布虛假信息,目前已解決:5月19日,官方消息,Mee6表示,系統沒有技術漏洞,Mee6被用來發布虛假信息是因為一名員工的帳戶遭到入侵。該問題現已解決,我們已采取所有措施確保它不再發生。
此前消息,Axie Discord主服務器上的Mee6機器人遭攻擊發布虛假鑄造鏈接,許多安裝了Mee6機器人的服務器都發生了這種情況。Moonbirds、PROOF、RTFKT、Memeland等多個NFT項目的Discord疑似遭遇攻擊。[2022/5/19 3:27:38]
Animoca Brands旗下游戲公司GAMEE將與曼城足球俱樂部聯合推出P2E游戲:4月29日消息,據官方公告, Animoca Brands旗下的休閑移動游戲子公司GAMEE與曼城足球俱樂部合作,將在提供加密獎勵P2E游戲平臺上推出一款名為《曼城前鋒》的足球游戲。GAMEE將在《曼城前鋒》舉辦比賽,玩家將能夠獲得加密貨幣作為獎勵。據悉,Arc8 目前擁有20萬月活用戶,未來幾周還將宣布與其他品牌的合作關系。[2022/4/29 2:39:34]
△圖1
NFT項目Meebits24小時交易量超3000萬美元,漲幅達118.95%:3月3日消息,據NFTGO.io數據顯示,NFT項目Meebits交易量突增,總交易額突破29.2億美元。24小時交易量達32,134,294.84美元,漲幅達118.95%。[2022/3/3 13:35:36]
△圖2二、事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
MeebitsDAO在SZNS上將20個MeebitsNFT碎片化為10萬枚MBBT代幣:11月22日消息,MeebitsDAO在NFT碎片化平臺SZNS上將20個MeebitsNFT碎片化為10萬枚MBBT代幣,將NFT碎片化主要為了擴大MeebitsNFT的所有權,這些NFT由Meebits創始人借出或捐贈。5萬枚MBBT代幣將分配給MeebitsNFT的捐贈或借出者,剩余5萬枚MBBT代幣將公開銷售,售價0.005ETH。[2021/11/22 22:08:55]
△圖3
△圖4根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
△圖5成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
△圖6最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。三、安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker
在前面的文章中,我曾經和大家分享過高瓴資本張磊的新書《價值》中的一些觀點。張磊是我一直比較關注的風投人士,他的很多觀點非常有啟發性,有些我自己都有親身的體會.
1900/1/1 0:00:00BTC行情分析 周末兩天有事,所以斷更兩天。再寫時,6萬大關的BTC已經初出江湖,睡蟲拜大哥一揮手就是近2萬億的單子,果然對于家而言,一切手段不過都是服務.
1900/1/1 0:00:00行業要聞 1、ETCGroup將在德意志交易所推出以太坊ETP。2、CPA報告顯示,法國央行考慮將Ripple和XRP作為發行數字歐元的平臺。3、500彩票網將變更中國業務名稱為“比特礦業”.
1900/1/1 0:00:00編者按:本文來自以太坊愛好者,作者:CarlMenger,翻譯&校對:閔敏&阿劍,Odaily星球日報經授權轉載.
1900/1/1 0:00:00編者按:本文來自金色財經,Odaily星球日報經授權轉載。印度儲備銀行堅持其對加密貨幣的立場,并已向政府轉達了其尋求禁止此類工具的決定,此前印度儲備銀行已表示嚴重關切.
1900/1/1 0:00:00編者按:本文來自BitpushNews,作者:AmyLiu 多項式承諾與Halo和以太坊未來的升級有關,可將無狀態以太坊客戶端的見證數據大小減少到接近于零,并實現更好的可擴展性.
1900/1/1 0:00:00