北京時間2021年3月4日,根據[鏈必安-區塊鏈安全態勢感知平臺(Beosin-OSINT)]輿情監測,BSC生態DeFi項目Meerkat Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
成都鏈安(Beosin)安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
(0x9542966f1114eaa5859201aa8d34358bfedbfa79)
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat Finance項目方已經跑路。
GAMEE Bozena Rezab:區塊鏈游戲仍應關注游戲本身屬性:據官方消息,9月23日,GAMEE CEO&聯合創始人Bozena Rezab在《HyperPay 焦點》第21期,主題為“《走進元宇宙》系列:揭秘鏈游和NFT熱潮背后的‘幕后推手’”專場AMA中提到:元宇宙是一種現實體驗(experiential reality),其中一種體驗是參與游戲。隨著區塊鏈游戲的普及,應該期待新的游戲經濟和游戲類型的出現。但是在利用區塊鏈技術塑造游戲的未來時,不應該忽視游戲的核心吸引力是玩法而非技術。[2021/9/23 17:01:13]
美國最大的經紀公司與NFT項目CryptoPunks、Meebits和Autoglyphs簽約:美國最大的經紀公司UTA已與Larva Labs的NFT藝術項目CryptoPunks、Meebits和Autoglyphs簽約。該機構將表現Larva Labs的加密藝術項目,用于電影、電視、視頻游戲和出版項目。(The Hollywood Reporter)[2021/9/1 22:50:51]
圖1
幣安智能鏈上Meerkat Finance項目金庫合約遭遇黑客攻擊:剛剛,微博大V“超級比特幣”在微博表示,“BSC鏈上山寨羊駝defi項目跑路,三小時1300萬美金。唉,土狗別沖啊!”
社群信息顯示,DeFi項目Meerkat Finance金庫合約遭遇黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。
金色財經在此提醒用戶,挖礦有風險,投入需謹慎。[2021/3/4 18:15:16]
圖2
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
公告 | 火幣全球站暫停MEET.ONE提幣業務:據火幣公告,火幣全球站支持MEET.ONE主鏈換幣,為了配合項目方做好換幣的相關準備工作,將于間4月26日15:00點關閉MEET.ONE舊幣提幣業務。[2019/4/26]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安(Beosin)安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
成都鏈安(Beosin)安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安(Beosin)安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
Tags:MEESINEOSNANmeet幣會不會歸0VM Tycoons BusinessesIEOSCFL365 Finance
“3月8日消息,據 Coindesk 報道,摩根大通已向其私人銀行客戶發送了一份加密貨幣入門報告,以教育他們投資加密技術的風險和機會,這些相關賬戶的最低存款余額為 1000 萬美元.
1900/1/1 0:00:00波卡生態融資加速,近期融資項目一覽。近期波卡生態一級市場非常火爆,有大量項目密集完成了融資,且有很多都會在私募后緊接著進行了公募.
1900/1/1 0:00:00北京時間 2 月 28 日凌晨,以太坊協議組合工具 Furucombo 智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過 1400 萬美元.
1900/1/1 0:00:002020年,區塊鏈行業欣欣向榮。BTC和ETH的幣價分別上漲了302%和464%,帶領數字貨幣市場全面走向牛市,加密貨幣市場總市值規模從約1918.63億美元擴大至約7600.56億美元,相當于.
1900/1/1 0:00:00開年以來,很多投資者體會到什么是過山車行情:交易前兩日,大盤還能小幅上漲,之后抱團股便快速瓦解,指數開啟快速下跌模式,讓一些投資新人驚慌不已.
1900/1/1 0:00:00“智能合約的安全級別主要取決于兩個因素:內部風險和外部風險。其中內部風險主要表現為合約自身的邏輯復雜度,外部風險主要表現為合約與第三方合約的交互程度.
1900/1/1 0:00:00