注:原文來自rekt。
回想起來,這是不可避免的。
這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件,MeerkatFinance丟失的資金排到了排行榜的第三位。
在僅僅運營一天之后,MeerkatFinance就卷走了1300萬BUSD以及大約73000BNB,目前涉及資金總額約為3100萬美元。
我們一直在觀察幣安智能鏈,其網絡似乎正復制以太坊DeFi夏天的發展走勢,當一些項目方通過復制的代碼建立足夠的資本后,就出現了卷款跑路的現象。
而這一事件的后續,將會是一種非常有趣的情況。
CZ及其團隊會不會回滾他們的公司鏈,或者就這么讓用戶遭受損失?
分析 | XLM處于上升通道 或在6個月后漲至3美元:加密貨幣分析師Yannick Laplante近期接受采訪時表示,作為日常交易員和Stellar(XLM)生態系統愛好者,他更喜歡對基于Stellar的早期產品進行投資。在談到Stellar Lumens(XLM)價格的走勢時,他非常樂觀。他解釋說,Stellar Lumens(XLM)現在處于一條上行通道,未來其價格還會繼續增長:“今年的價格預測將創下歷史新高,XLM 6個月后將達到3美元,到2021-2022年,XLM可能會達到100美元。”但在這輪漲勢之后可能會出現一次非常嚴重的回調,在此期間,該資產可能會損失至多50%的收益。Laplante強調,他之所以投資Stellar Foundation,不僅是出于對價格的預測,也是因為他認同其價值,并欣賞其管理方式。(U.Today)[2020/2/24]
這樣的騙局使得小偷無處藏身,在這么一條鏈上,他們能跑到哪里去呢?幣安關閉了橋梁,甚至bscscan.com也暫停了一會兒。是流量太大,還是某種類型的煙幕彈?
分析 | 套利利潤相對于DEX交易量下降表明市場效率顯著提高:據The Block文章分析,去中心化交易所(DEX)總交易量較上月增長32.53%,而2020年1月與2019年1月相比增長223%。在過去的12個月中,排名前10位的DEX交易者執行了所有DEX交易的48%。而最大的DEX套利者在過去12個月里獲得了14%的套利利潤。文章分析稱,套利利潤相對于交易量的下降,表明過去12個月市場效率有了顯著提高。[2020/2/15]
MeerkatFinance最初聲稱這是一次黑客攻擊,但隨后該項目方刪除了他們的賬戶,只剩下BSC用戶自己,或者去怪幣安。
感謝0xdeadf4ce提供的幫助。
MeerkatFinance部署者升級了該項目的2個金庫。
分析 | BTC對市場影響越發明顯 下一輪高點后可能出現明顯打壓:據鏈塔數據平臺數據顯示,鏈塔數字貨幣整體指數(BI)今日11時報1586點,相較昨日上漲56點,漲幅3.66%。24h內市值前10的貨幣全線上漲,BTC上漲幅度最大,為4.17%,24h內加密貨幣市場市值再度上漲至3340億美元左右。市場經歷一輪沖高回調后,昨日繼續震蕩上行,相較24h前,主流貨幣均已翻綠。目前市場日交易量相較上個月,已有數倍的增長,同時BTC的總市值占比已接近60%,說明市場的資金更傾向于接受BTC,而昨天的回調翻綠行情也證明了主流幣受BTC影響較為明顯。市場概念、板塊缺乏多樣性,導致大量貨幣缺乏投資價值。
BTC今天站上11000點,接下來很可能繼續上行到接近12000點,但同時要注意市場集中度過高,出現打壓現貨套利的機會,一旦主力開始打壓價格,可能會出現大幅下跌的行情。其他主流幣種昨日再次證明表現不如BTC,也沒能跑出自己的行情,暫不考慮操作。[2019/6/25]
攻擊者地址通過Vault代理調用無需許可初始化函數,有效地允許任何人成為Vault所有者。
分析 | BTC新增流量再創近一月新低,短期或將延續探底:據TokenInsight數據顯示,反映區塊鏈行業整體表現的TI指數北京時間06月12日8時報696.27點,較昨日同期下跌5.12點,跌幅為0.73%。此外,在TokenInsight密切關注的28個細分行業中,24小時內漲幅最高的為娛樂與游戲平臺行業,漲幅為7.11%;24小時內跌幅最高的為其它技術或協議行業,跌幅為3.83%。
據監測顯示,BTC 24h交易量為$168億,活躍地址數較前日上升0.77%,轉賬數下降1.98%。BCtrend分析師Jeffrey認為,BTC新增流量再創近一月新低,短期或將延續探底。
另據Bituniverse量化分析,今日行情震蕩,可開啟EOS/USDT網格交易,區間5.1526-7.6632 USDT,高拋低吸賺取收益。[2019/6/12]
攻擊者隨后通過調用簽名為0x70fcb0a7的函數來耗盡金庫,該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯,顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。
分析 | 比特大陸盈利能力超小米 但過度依賴比特幣價格漲跌:據財聯社報道,比特大陸是近年來為數不多的在上市之時便實現盈利的公司。資本市場備受關注的新經濟公司拼多多、美團等均未實現盈利,而比特大陸的盈利能力則已經超越了市值近4000億港元的小米。(比特大陸2017年凈利潤約合65億元人民幣,小米為54億元)[2018/9/27]
通常,如果合約具有允許所有者主動取回策略/金庫中使用資產的函數,那么你就是在信任這個項目團隊。
而他們可以隨時選擇跑路。
這就是為什么像yearn這樣的項目會添加如下圖所示的檢查函數,這樣項目方就只能取回那些沒有被策略/機槍池所使用的資金。
兩個受影響的金庫都使用了OpenZeppelin的透明代理升級模式,通過在Vault代理級別上調用upgradeTo函數,可以將Vault邏輯升級到新的邏輯實現。
BUSD金庫的先前實現部署在0x49509a31898452529a69a64156ab66167e755dfb,而WBNB金庫的先前實現部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271,兩者都是相當不起眼的。
MeerkatFinance部署者調用了upgradeTo函數兩次:
在區塊高度5381239時,將WBNBVault實施地址設置為0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
在區塊高度5381246時,將BUSDVault實施地址設置為0xb2603fc47331e3500eaf053bd7a971b57e613d36;
這改變了金庫邏輯,引入連個值得注意的函數,而它們并非是最初實現的一部分。
init(地址所有者)
根據反編譯字節碼,此函數將存儲slot0上的地址設置為提供給該函數的地址;
無需權限檢查,這個新添加的函數成為了攻擊者闖入金庫的最終后門。
在透明代理中使用特定的Initializer模式是最佳實踐,并且已在第一個Vault實現中應用,因此除了計劃盜竊Vault資金之外,添加init方法的意圖也是非常值得懷疑的。
0x70fcb0a7(address_param1)
源代碼不可用,反編譯源僅限于檢查調用者是否等于init方法中設置的存儲slot0,并使用金庫地址作為查詢目標,轉出param1隨附的代幣合約上的balanceOf。這兩種功能都不是以前Vault實現的一部分。
比較新舊實現的字節碼大小,我們可以發現,新實現的字節碼大小僅為以前邏輯的1/4。
由于升級是MeerkatFinance部署者完成的,考慮到鏈上數據的所有方面,因此這次事件最有可能的情況是蓄意的跑路事件,而私鑰泄露的可能性是非常小的。
截至這篇文章發布時,被盜資金的部分已被分配到不同的地址,并被發送到似乎屬于幣安交易所托管的幣安橋。
Binance.org橋目前已暫停,可能是為了避免資金被輕易轉移到其他區塊鏈。
時間線
2021年3月4日上午UTC時間08:53:10,MeerkatFinance部署者將WBNB金庫改到合約0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
2021年3月4日上午UTC時間08:53:31,MeerkatFinance部署者將BUSD金庫改到合約0xb2603fc47331e3500eaf053bd7a971b57e613d36;
2021年3月4日上午UTC時間08:54:31,攻擊者調用BUSD金庫上的0x70fcb0a7方法以轉出13,968,039BUSD
2021年3月4日上午UTC時間08:54:55,攻擊者調用WBNB金庫上的0x70fcb0a7方法以轉出73,635WBNB
同樣的把戲在不同的鏈上發生過,但權力的平衡是不同的。在CZ的監視下,橋梁被燒毀了,強盜無處藏身。
即使是在Meerkat_Rugpull電報群中,關于幣安如何處理這種情況的問題,聊天成員們也沒有達成共識。
幣安會回滾區塊鏈并將錢退給用戶嗎?
答案并不是那么清晰,21名神秘驗證者理論上可以安排退款,但可能性并不大,這只會助長CeDeFi的問題,并為BSC律師創造更多的工作。
幣安如何處理這次事件,可能會開創一個先例。
雖然這并不是發生在BSC上的第一次卷款跑路事件,但這是自PancakeSwap興起以來的第一次,也是涉及金額最大的一次。.
因此,我們發現,在BSC上的協議并不比在以太坊安全。
CZ不會救你,他們的交易確實便宜了,但沒有獨創的發展。
一旦以太坊Layer2落地了,BSC這條企業鏈將會變成什么樣?
「我決定將余下的職業生涯轉向加密。」今年2月,AngelList聯合創始人兼CEO、被公認為全球股權眾籌的鼻祖NavalRavikant在Clubhouse上表達了這一觀點.
1900/1/1 0:00:003月5日,Twitter創始人杰克·多西在推特上發布了一個新的應用程序,該程序允許人們使用ETH“購買”推文.
1900/1/1 0:00:00來源:移動支付網 作者:佘云峰 原標題:《315關注|“數字人民幣”詐騙升級》移動支付網訊:近日,數字人民幣試點活動相繼在深圳、蘇州、北京、成都等地展開,在當地用戶踴躍報名參與之下.
1900/1/1 0:00:00作?者 王天琛許妙言陳晗袁煜明 摘要: 自2013年來,美國比特幣交易所交易基金的上市之路可謂是一波三折,至今未見成果;而近期,加拿大首只比特幣ETF上市則是賺足了全球投資者的眼球.
1900/1/1 0:00:00路透調查:上市公司投資比特幣面臨財務審計障礙暫難成趨勢 同花順財經 剛剛 31 路透社今日在調查了十多位財務高管、董事和會計師后稱,加密貨幣短期內難以形成投資趨勢.
1900/1/1 0:00:00?彭博資訊的一位頂級商品策略分析師MikeMcGlone,在推特上分享了他的分析數據,指出比特幣取代黃金作為投資者投資組合中的價值儲存的步伐正在加快.
1900/1/1 0:00:00