砸盤、銷號、解散社群 Merlin Lab“跑路三連”暴露了DeFi哪些問題？_MERL:BIT

拋售代幣、注銷推特、微信群解散，昨夜BSC機槍池項目MerlinLab上演一出火速“大逃亡”。

6月29日15點24分，MerlinLab遭到黑客攻擊。據區塊鏈安全公司PeckShield分析，MerlinLab遭到黑客攻擊源于MerlinStrategyAlpacaBNB中存在的邏輯漏洞，合約誤將收益者轉賬的BNB作為挖礦收益，使得合約增發更多的MERL作為獎勵。經過重復操作，攻擊者獲利30萬美元。MERL短時腰斬，從$16.23跌至$6.09。

MerlinLab在這次攻擊中反映很快，只不過這個“快”出乎大多數人的意料：

16:54，項目方開始著手調查此事。

17:24，項目方得出初步結論，是經濟規則漏洞被利用了。

23:27，宣布關閉項目，通知用戶停止存款并及時提取資金。

Alameda回應砸盤BIT質疑：不是1億枚BIT拋售者，將會給出資金證明:11月8日消息，Alameda Research聯席CEO Caroline Ellison在推特上回應Bybit CEO對其砸盤BIT的質疑，稱“我們現在很忙，但那不是我們，等事情平息后，我們會給你資金證明。”

此前消息，Bybit首席執行官Ben Zhou在社區對BIT暴跌做出回應，稱有人違背承諾拋售所持1億枚BIT，BitDAO社區還發布了新提案，要求Alameda限時將1億BIT代幣轉至鏈上地址，否則將處置金庫中的FTT。[2022/11/8 12:32:04]

30日零點26分，項目方開始拋售代幣。

大多數沒有想到，項目方對攻擊事件的處理是關停項目。

根據項目方的說法，屢次遭受黑客攻擊之后，開發人員對項目前景不樂觀，并認為沒有更多的經驗去應對未來潛在的挑戰，最初的愿景無力實現，只得無奈關停項目。

警惕KuCoin黑客正利用Uniswap出貨砸盤:據PeckShield旗下資產追蹤平臺CoinHolmes數據顯示，自09月27日下午3時以來，CoinHolmes監控到標記為KuCoin黑客的多個地址，正持續將盜取的大量OCEAN代幣轉入去中心化交易所Uniswap進行砸盤出貨，PeckShield安全人認為，黑客此舉很可能對OCEAN關聯交易對價格產生較大幅度波動影響，建議在OCEAN提供了流動性的LP盡快移除相關流動性。據悉，KuCoin被盜資產目前經中心化交易所洗錢會面臨較大的封堵壓力，因此黑客正嘗試通過去中心化交易所進行洗錢。[2020/9/27]

目前，項目方官網依舊可以訪問，資金可以正常提取。項目方文檔、推特賬號以及中文微信群已經解散。

這次事件，暴露了DeFi以下問題：

1）到底是團隊作惡還是正常黑客攻擊？

主力數據復盤：幣安現貨主力3142.71枚BTC砸盤引發瀑布:AICoin PRO版K線主力成交數據顯示：通過秒級周期數據對比，昨晚的劇烈下跌或由幣安現貨主力砸盤引起。 22:46:21，幣安BTC/USDT以10055.01美元市價賣出709.82枚BTC，最終被買價格10000美元，賣出滑點95.01美元，價格直接跌至9905美元。

3秒后，繼續以9969美元市價賣出361.96枚BTC，最終被買價格9905.99，賣出滑點73.44美元，價格跌至9871美元。 隨后繼續有大額市價賣單成交，3分鐘內累計主動賣出41筆，共計3142.71枚BTC。

可見，幣安現貨主力的大量市價賣出或引起了此輪瀑布。[2020/6/3]

2）審計過的項目是否一定安全？

3）匿名項目是否值得信任？

4）項目方認輸的成本低，給投資人造成的損失怎么辦？

聲音 | 南國都市報：“區塊鏈”實為“取款鏈” 先拉漲幣價再套現砸盤:南國都市報發文表示，“區塊鏈”實為“取款鏈” ，總結虛擬貨幣投資騙局套路如下：第一步，將虛擬貨幣包裝上新鮮元素，披上“區塊鏈”外衣；第二步，在前期進行瘋狂宣傳，吸引大量熱錢進盤；第三步，嫌犯在前期拉漲幣價，讓投資者嘗到一些甜頭，但是這種價格的變動往往是該公司使用投資人的投資款進行操作；第四步，收割“韭菜”。當投資人進場后，嫌犯通過惡意操縱虛擬貨幣價格走勢不斷套現，導致投資人手中虛擬貨幣毫無價值，損失慘重。[2019/11/22]

黑客是自己人？

PeckShield認為，這次事件有可能是團隊作惡。

比如有一個疑點是：合約還沒有準備好，為什么要急著部署在自己的主網上呢？

“與AlpacaFinance相關的單一資產機槍池今早剛剛上線MerlinLabs主網做測試，存在漏洞的合約尚未公布，也未提供給用戶……實施這一攻擊需要內幕信息，由于合約的部署、上線、審計經手多人，因此內幕人士有多個可能。”

業內人士：一些交易所聯合莊家拉盤砸盤已是公開的秘密:一名數字貨幣資深業內人士稱，一些交易所聯合莊家拉盤砸盤，在數字貨幣交易市場中是一個公開的秘密，“一般是交易平臺加媒體加莊家合謀。莊家大部分是從股票、期貨行業轉型過來的人。”“像股票要受到證監會的監管，沒有監管的就是自由市場，大市場吃小市場。”[2018/4/20]

團隊作惡可能是：①核心人員主動作惡；②部分人員偷偷作惡；③部分人員與外部黑客聯手，里應外合。

項目方在被攻擊后連夜關停項目、清空推特、清空項目wiki、解散微信群、拋售代幣等操作，似乎有理由讓人懷疑這是團隊主動作惡。

不過，這次攻擊獲利金額大約是30萬美元，MerlinLabs在被攻擊前的TVL大約有2億美元。如果是核心團隊主動作惡，這個收益看上去沒有足夠的誘惑力。

項目方關停項目并沒有關閉項目網站，仍舊給投資人時間提取資金。這種做法似乎說明是②或者③的可能性大一些。

也有可能完全是來自外部黑客攻擊，實屬巧合。

審計的項目安全嗎？

大多數DeFi項目會找審計公司出具審計報告為項目的安全性背書。

不過，審計過的項目并非一定安全。5月份發生的BSC集中被黑客攻擊案例，其中不少項目是經區塊鏈安全公司審計過了的。

PeckShield告訴巴比特，防御攻擊不是一個靜態的過程，它是個動態的過程。

簡而言之，需采用“事前事中事后”三段式防御模式，在新合約上線之前要進行全面而專業的智能合約安全審計，這一步主要是幫助協議排查已知的各類漏洞，審計并不能解決所有問題。

此外，還要注意排查與其他DeFi產品進行組合時的業務邏輯漏洞，避免出現跨合約的邏輯兼容性漏洞；要設計一定的風控熔斷機制，引入第三方安全公司的威脅感知情報和數據態勢情報服務。

在DeFi安全事件發生時，能夠做到第一時間響應安全風險，及時排查封堵安全攻擊，避免造成更多的損失；并且應聯動行業各方力量，搭建一套完善的資產追蹤機制，實時監控相關虛擬貨幣的流轉情況。

在其他協議發生安全事件后，要對自己的協議進行仔細地查缺補漏，是否有相似的漏洞，是否有潛在的風險。我們認為除了需要構建安全的預言機策略，還要透徹理解協議，在預言機這一源頭上下功夫，做到從審計角度查出問題，提供可靠的鏈下解決方案，及時查缺補漏，才能減小因預言機傳達失真數據而帶來的價格操縱風險。

匿名項目是否值得信任？

根據Debank排行榜，目前排名前十的DeFi項目，幾乎都是實名的。

比如，Curve創始人MichaelEgorov，和V神一樣是俄羅斯人。Aave創始人兼首席執行官StaniKulechov，曾在赫爾辛基大學攻讀法律專業。Uniswap創始人HaydenAdams畢業后第一份工作就被裁員，然后世界上少了一名青年電氣工程師多了一位DeFi開創者。

其他的像Compound、MakerDAO、Liquity也都是實名項目。Venus項目由Swipe團隊支持，Swipe是Binance投資公司。

只有PancakeSwap和SushiSwap的團隊是匿名的。不過，SushiSwap的幾個核心開發者在推特還算比較活躍，在國內也有專門的中文運營社區。

雖然區塊鏈講究去中心化、去信任，實際情況卻是，實名項目更容易贏得投資人信任。

遺憾的是，MerlinLabs是匿名項目。

項目被隨意丟棄，投資人只能認賠？

MerlinLabs在被攻擊之后采取的解決方案并未如前兩次一樣修補漏洞并且為投資人制定補償方案。相反，項目方的做法是迅速拋售代幣然后宣布項目解散。

這種做法直接導致已經腰斬的幣價走向歸零。

幣價暴跌，同樣導致為項目提供流動性的LP損失慘重。

可以毫不客氣地說，項目方這樣做是極不負責任的，完全置投資者利益于不顧。

昨晚抄底的投資者成本多在6-8美元區間，一覺醒來歸零。

由于項目方是匿名的，同時項目推特注銷、電報群禁言、微信群解散，受損失的投資人幾乎無處討要說法。

DeFi沒有監管，在“Codeislaw”的區塊鏈世界投資人除了寄希望于項目代碼安全，還有就是靠項目方自我道德約束，一旦這兩道防線被突破，投資人似乎只能自認倒霉。

Tags：MERLMERMerlinBITMERL價格meritcircle幣最新消息bitkeep怎么提現人民幣

芝麻開門交易所