以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 火星幣 > Info

上線不到1天就攜款跑路,3000萬美金被卷走!Meerkat Finance事件解析_HDS

Author:

Time:1900/1/1 0:00:00

一、事件概覽

北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接

成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。

Kava 14測試網已上線,主網將于7月12日發布:6月28日消息,Kava Network在推特上宣布,Kava 14測試網已上線,Kava 14主網將于7月12日發布。根據此前消息,新版本將成為連接Cosmos至以太坊dApp的內部跨鏈橋,屆時原生Cosmos資產將解鎖至KAVA EVM。[2023/6/28 22:05:48]

圖1

圖2

二、事件分析

聚幣Jubi將于11月10日17:00首發上線HDS(Hades):據官方消息,聚幣Jubi將于2020年11月10日17:00(UTC+8)首發上線HDS(Hades),開放HDS/USDT交易市場。聚幣Moonshot HDS的抽簽申購將于今日15:00結束。

Hades協議是一個基于雙向借貸市場的輕量級去中心化穩定幣協議,具有自動利率目標和流動性挖礦激勵機制。HDS是Hades協議中的治理代幣,其主要職責是作為社區成員對協議細節產生變更或進行重大決策的憑證。同時HDS也是Hades協議的激勵令牌,用戶可以通過提供資產、借貸資產或者抵押指定流動性證明獲得獎勵。[2020/11/10 12:12:04]

緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。

聲音 | Hedera Hashgraph CEO:公鏈將于2019年夏正式上線 且永遠不會分叉:3月14日上午,在香港舉辦的全球區塊鏈行業峰會TOKEN2049上,Hedera Hashgraph CEO Mance Harmon發表演講稱,Hedera是一種優于區塊鏈的新的共識協議,目前測試網絡上有超300多個分布式應用,其公鏈“Hedera”網絡將于2019年夏天正式上線,而且Mance Harmon承諾Hedera永遠不會分叉。[2019/3/14]

圖3

圖4

根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:

圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:

圖6

最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。

三、安全建議

成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。

最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。

在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。

BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?

Tags:HDSEDEHADESHADEHDS價格thegardenofedenhades幣發行多少

火星幣
FD7成立2.5億美元新基金 押注DOT和ADA生態_DOT

當地時間2月28日,加密投資基金FD7Ventures在印度班加羅爾開設了一個辦事處,成立了2.5億美元的FD7微型基金,重點投資于致力于推進Polkadot和Cardano生態系統的團隊.

1900/1/1 0:00:00
Messari分析師Ryan Watkins:算法穩定幣正在復蘇_穩定幣

算法穩定幣在去年年末掀起了一股熱潮。僅僅兩個月后,這塊新生的領域已鮮有人關注。但Messari分析師RyanWatkins發推表示,算法穩定幣在進入死亡螺旋后,已經出現了復蘇的跡象.

1900/1/1 0:00:00
擼到手軟 手把手帶你擼“神仙級”DeFi項目早期空投_EFI

在幣圈,最令人羨慕的不是買了暴漲幣,而是空手套白狼,低成本甚至零成本擼了項目方空投羊毛。細數一下過去一年DeFi世界的神仙級空投,毫不夸張的講,用心一點,擼出一輛保時捷是沒有任何問題啊.

1900/1/1 0:00:00
3.4午間行情:資金獲利了結 進入震蕩時間_DEF

文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
比特幣挖礦企業Cipher擬上市:估值20億美元 路演PPT曝光_比特幣

比特幣挖礦企業Cipher擬上市:估值20億美元路演PPT曝光 雷帝觸網 剛剛 9 比特幣挖礦公司CipherMiningTechnologiesInc.日前宣布.

1900/1/1 0:00:00
OKLink行業觀察:斥2.6億囤比特幣 以太坊?美圖還有三大“后手”_數字資產

比特幣“機構熱”從海外正式燃進了香港。3月7日,美圖宣布斥資2.6億人民幣,購入了15,000枚以太坊和379.12枚比特幣,成為“第一家購買BTC的香港上市公司”、“全球第一家把ETH作為貨幣.

1900/1/1 0:00:00
ads