北京時間2021年3月4日,根據[鏈必安-區塊鏈安全態勢感知平臺(Beosin-OSINT)]輿情監測,BSC生態DeFi項目Meerkat Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。
成都鏈安(Beosin)安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址
(0x9542966f1114eaa5859201aa8d34358bfedbfa79)
進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat Finance項目方已經跑路。
Meebits本周已進入路線圖“Meebits 1.2”并推出兩周年專屬PFP:金色財經報道,Yuga Labs旗下NFT項目Meebits在社交媒體宣布為慶祝項目兩周年推出專屬PFP,可以呈現如HYPE、DAZED和SPICY等情緒。此外,Meebits本周已進入了其路線圖的新時代:Meebits 1.2,NFT持有者現在可以通過使用情緒作為主要升級來個性化他們的角色來動畫他們的角色,并在支持HTML的NFT市場上機型展示,NFT 持有者還可以在元宇宙甚至Web3游戲中使用Meebits頭像。[2023/5/21 15:16:26]
Meek Mill表示將購買SHIB:美國說唱歌手Robert Rihmeek Williams被粉絲稱為Meek Mill,其在最近的推文中宣布,他將購買一些SHIBA INU(SHIB)代幣。目前他已經擁有比特幣和受Elon Musk推崇的狗狗幣。(U.today)[2021/5/24 22:38:26]
圖1
圖2
FAMEEX網格交易大賽10天總成交量超4000萬USDT:據官方消息,FAMEEX數字資產交易所于5月21日0點開啟的網格交易大賽已于5月30日0點圓滿結束。此次活動持續10天,共計送出18888USDT。
據FAMEEX官方統計,此次網格大賽用戶參與人數眾多,共計成交400,000筆,總成交量超4,000萬USDT,參賽用戶的最高收益率達7.9%。
FAMEEX官方指出,“據統計,數字資產市場一年內有70%-80%的時間行情處于震蕩狀態中,單邊走勢只有20%-30%幾率。所以說網格交易是新手戰勝市場的較優策略,防止情緒化、恐慌性虧本出售,造成嚴重虧損。從長期來看,用網格交易法,獲得10%-15%的收益率還是可能的。”[2020/6/1]
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
FAMEEX網格交易大賽5天總成交量超3000萬USDT:據官方消息,FAMEEX數字資產交易所正在推出的網格交易大賽已持續5天,已有超20萬用戶參與此次活動,已經累計送出2500USDT。
據FAMEEX官方數據,截至發文,此次大賽活動共計成交300,000筆,總成交量超3,000萬USDT,參賽用戶的最高收益率達7.2%。
官方分析指出,“因為數字資產領域行情波動很大,導致普通投資者易受情緒影響,產生恐慌性虧本出售。這種情況下,網格交易以在震蕩行情中出色的盈利能力,脫穎而出。”[2020/5/26]
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安(Beosin)安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
成都鏈安(Beosin)安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安(Beosin)安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:
https://bscscan.com/tokenapprovalchecker
文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:002月25號14:00,Kava全球業務發展副總裁Aaron Choi做客金色微訪談直播間,本次直播由金色財經海帶主持,主題為“Kava如何成為Cosmos生態DeFi中心?”.
1900/1/1 0:00:00以太坊EIP-1559提案到底是什么?它會降低以太坊gas費嗎?為何它會讓ETH通縮?下面為您揭曉。 首先,了解EIP定義.
1900/1/1 0:00:00進入2021年,比特幣一路猛漲,接連突破3萬美元、4萬美元、5萬美元大關。礦機市場也由此掀起一波高潮,新老礦機價格翻番。然而,看似火熱的市場,實則暗流涌動,暴漲暴跌愈發頻繁.
1900/1/1 0:00:00根據Osasion公鏈Troy主網數據,當前主網激活節點14550個,共識標的為1.80$,漲幅高達1800%,起步倍增數為18倍.
1900/1/1 0:00:00金色財經 區塊鏈3月3日訊? 2021年剛開篇,加密貨幣行業就迎來了一個好消息:美國貨幣監理署(OCC)代理署長布萊恩·布魯克斯(Brian Brooks)發布了一封解釋信函.
1900/1/1 0:00:00