一、事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
Booster上線火幣Heco 5小時 TVL突破20億美元:據官方消息,火幣生態鏈Heco上的DeFi生態聚合器Booster TVL突破20億美元。Booster已由知名審計機構靈蹤安全和慢霧審計完成,用戶可參與LP流動性挖礦及無損單幣挖礦,目前已支持HBTC、ETH、HUSD、USDT、 WHT等主流幣種的單幣無損挖礦。
Booster將致力于成為一站式服務平臺,用戶可在Booster完成存款、借款、杠桿挖礦、復投、跨鏈挖礦等一些列DeFi行為,致力于研發一個多功能聚合器,滿足用戶所有需求的一個跨時代的產品。[2021/4/16 20:28:35]
圖1
GT鎖倉挖礦BAGS上線一分鐘售罄:據官方公告,Gate.io抵押挖礦BAGS產品《GT鎖倉挖礦BAGS》已于今日中午12:00上線,總額度2,628,200 GT,上線1分鐘后售罄。Gate.io 將于2月2日14:00上線BAGS/USDT交易對,鎖倉結束后用戶即可持有BAGS參與交易。[2021/1/30 18:27:25]
圖2
二、事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
聚幣Jubi上線BKY/USDT,開盤上漲700%:據官方消息,聚幣Jubi于2020年7月22日20:00(UTC+8)上線BKY /USDT,開盤上漲700%,開盤價0.015USDT,現報價0.12USDT。
BoKeYun Token(BKY) 是基于BitcoinHD(BHD)主鏈發行的加密貨幣通證,是波克云的權益證明,發行總量恒定為21億枚,BKY持有者可以深度參與波克云未來發展,獲得波克云所帶來的收益,BKY將成為波克云生態建設的最重要的基石。[2020/7/23]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
三、安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?
下文報告發布時,比特幣的交易價格約為49000美元,在過去24小時內價格下跌了近2%,并繼續保持在目前這個區間內.
1900/1/1 0:00:00作為僅次于比特幣的第二大加密貨幣,以太坊不僅僅是數字貨幣,它更是數十億美元經濟的基礎。從DeFi到數字藝術,我們需要了解以太坊崛起背后的推動力.
1900/1/1 0:00:00注:原文作者是Bankless分析師LucasCampbell,在這篇文章中,作者總結了評估DeFi協議的12種指標,其中包括7種通用指標,以及特定于不同領域的5種評估指標.
1900/1/1 0:00:00要點總結 1.?產能有限?自2020年1月,比特幣價格暴漲超過600%;但算力漲幅最高僅為約55%。由于礦機產能有限,相較于價格上漲,比特幣算力增長速度較為緩慢.
1900/1/1 0:00:00|合規聯盟原創出品?| 區塊鏈是一個去中心化的分布式數據庫,由若干數據區塊連接而成,其中保存著公開透明、不可更改的數據信息.
1900/1/1 0:00:002021年3月7日,美圖公司發布自愿性公告指出,本集團于2021年3月5日在公開市場交易中購買了15,000單位的以太幣和379.1214267單位的比特幣.
1900/1/1 0:00:00