注:原文來自rekt。
回想起來,這是不可避免的。
這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件,MeerkatFinance丟失的資金排到了排行榜的第三位。
在僅僅運營一天之后,MeerkatFinance就卷走了1300萬BUSD以及大約73000BNB,目前涉及資金總額約為3100萬美元。
我們一直在觀察幣安智能鏈,其網絡似乎正復制以太坊DeFi夏天的發展走勢,當一些項目方通過復制的代碼建立足夠的資本后,就出現了卷款跑路的現象。
而這一事件的后續,將會是一種非常有趣的情況。
CZ及其團隊會不會回滾他們的公司鏈,或者就這么讓用戶遭受損失?
分析 | 真正恐慌到來時,比特幣及黃金價格都將出現大幅度下跌:據新京報消息,復旦大學教授、博士生導師孫立堅在接受采訪時表示:“短期來看,在伊朗事件的不確定性加大的情況下,如果戰爭事件沒有發生,一定會帶來目前所看到的股指跌、油價漲、貨幣跌、金價漲的格局,但如果一旦開戰,那么金價、油價、股指都會下跌,只有美元指數將會上漲。” 對于未來的可投資標的,孫立堅這樣預判,而這也是2008年金融危機的特征中,現金為王的特征。目前,投資者還未真正進入戰爭恐慌的下一階段,認為黃金還是屬于具有避險屬性的標的,選擇黃金以及比特幣等投資進行避險,但真正的恐慌到來的時候,比特幣、黃金的價格都將出現大幅度的下跌。[2020/1/8]
這樣的騙局使得小偷無處藏身,在這么一條鏈上,他們能跑到哪里去呢?幣安關閉了橋梁,甚至bscscan.com也暫停了一會兒。是流量太大,還是某種類型的煙幕彈?
MeerkatFinance最初聲稱這是一次黑客攻擊,但隨后該項目方刪除了他們的賬戶,只剩下BSC用戶自己,或者去怪幣安。
分析 | 以太坊與BTC關聯度持續下滑 保持相對獨立行情:據 TokenGazer 數據分析顯示,截止至 9 月 18 日 11 時,以太坊價格為$206.16,總市值為$21,748.96M,主流交易所交易量約為$324.30M,環比昨日縮水20.36%;近期以太坊保持相對獨立行情,以太坊對比特幣匯率持續上升;基本面方面,以太坊鏈上交易量保持穩定、鏈上DApp交易量有一定回調,算力持續增長,活躍地址數平穩波動;以太坊 30 天開發者指數約為 2.24;以太坊與 BTC 180 天關聯度持續下行,30 天 ROI保持上行趨勢;ERC20 代幣總市值約為以太坊總市值的 57.33%,環比昨日略有反彈。[2019/9/19]
感謝0xdeadf4ce提供的幫助。
分析 | 比特幣走勢健康 “多軍”依然堅定:瑞海君看幣觀點:目前比特幣走勢依然健康,沒有出現放量上漲,說明持幣者依然堅定,市場拋壓繼續減小;之前幣安作為空軍基地,持續打壓比特幣價格,今天早盤開始出現追漲現象,即市場上最堅決做空的力量已經翻多,放眼望去,身邊已經全是多頭戰友,如果市場再次發生放量上漲的短線走勢,即是波段見頂的信號,建議投資者提高自己的移動止損價位到11500附近。[2019/8/6]
MeerkatFinance部署者升級了該項目的2個金庫。
攻擊者地址通過Vault代理調用無需許可初始化函數,有效地允許任何人成為Vault所有者。
攻擊者隨后通過調用簽名為0x70fcb0a7的函數來耗盡金庫,該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯,顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。
通常,如果合約具有允許所有者主動取回策略/金庫中使用資產的函數,那么你就是在信任這個項目團隊。
分析 | 上市公司區塊鏈業務分布 超3成企業“押寶”文娛業:據證券日報消息,截至9月20日,滬深兩市交易所已給34家上市公司下發了監管函,在上市公司回復文件中,也揭露出區塊鏈業務分布情況,這些公司重點布局在文娛、金融、能源、醫療等領域,參與數量分別為11家、8家、5家和4家。其中,文娛已蓋過金融風頭,最被上市公司看好,有逾三成的企業布局于此。[2018/9/21]
而他們可以隨時選擇跑路。
這就是為什么像yearn這樣的項目會添加如下圖所示的檢查函數,這樣項目方就只能取回那些沒有被策略/機槍池所使用的資金。
兩個受影響的金庫都使用了OpenZeppelin的透明代理升級模式,通過在Vault代理級別上調用upgradeTo函數,可以將Vault邏輯升級到新的邏輯實現。
分析 | 金色盤面:關注BCH588美元支撐力度:金色盤面綜合分析:BCH短線緩慢上漲,關注上升趨勢線588美元的支撐力度,破位或引起新一輪下跌。[2018/8/9]
BUSD金庫的先前實現部署在0x49509a31898452529a69a64156ab66167e755dfb,而WBNB金庫的先前實現部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271,兩者都是相當不起眼的。
MeerkatFinance部署者調用了upgradeTo函數兩次:
在區塊高度5381239時,將WBNBVault實施地址設置為0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
在區塊高度5381246時,將BUSDVault實施地址設置為0xb2603fc47331e3500eaf053bd7a971b57e613d36;
這改變了金庫邏輯,引入連個值得注意的函數,而它們并非是最初實現的一部分。
init(地址所有者)
根據反編譯字節碼,此函數將存儲slot0上的地址設置為提供給該函數的地址;
無需權限檢查,這個新添加的函數成為了攻擊者闖入金庫的最終后門。
在透明代理中使用特定的Initializer模式是最佳實踐,并且已在第一個Vault實現中應用,因此除了計劃盜竊Vault資金之外,添加init方法的意圖也是非常值得懷疑的。
0x70fcb0a7(address_param1)
源代碼不可用,反編譯源僅限于檢查調用者是否等于init方法中設置的存儲slot0,并使用金庫地址作為查詢目標,轉出param1隨附的代幣合約上的balanceOf。這兩種功能都不是以前Vault實現的一部分。
比較新舊實現的字節碼大小,我們可以發現,新實現的字節碼大小僅為以前邏輯的1/4。
由于升級是MeerkatFinance部署者完成的,考慮到鏈上數據的所有方面,因此這次事件最有可能的情況是蓄意的跑路事件,而私鑰泄露的可能性是非常小的。
截至這篇文章發布時,被盜資金的部分已被分配到不同的地址,并被發送到似乎屬于幣安交易所托管的幣安橋。
Binance.org橋目前已暫停,可能是為了避免資金被輕易轉移到其他區塊鏈。
時間線
2021年3月4日上午UTC時間08:53:10,MeerkatFinance部署者將WBNB金庫改到合約0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
2021年3月4日上午UTC時間08:53:31,MeerkatFinance部署者將BUSD金庫改到合約0xb2603fc47331e3500eaf053bd7a971b57e613d36;
2021年3月4日上午UTC時間08:54:31,攻擊者調用BUSD金庫上的0x70fcb0a7方法以轉出13,968,039BUSD
2021年3月4日上午UTC時間08:54:55,攻擊者調用WBNB金庫上的0x70fcb0a7方法以轉出73,635WBNB
同樣的把戲在不同的鏈上發生過,但權力的平衡是不同的。在CZ的監視下,橋梁被燒毀了,強盜無處藏身。
即使是在Meerkat_Rugpull電報群中,關于幣安如何處理這種情況的問題,聊天成員們也沒有達成共識。
幣安會回滾區塊鏈并將錢退給用戶嗎?
答案并不是那么清晰,21名神秘驗證者理論上可以安排退款,但可能性并不大,這只會助長CeDeFi的問題,并為BSC律師創造更多的工作。
幣安如何處理這次事件,可能會開創一個先例。
雖然這并不是發生在BSC上的第一次卷款跑路事件,但這是自PancakeSwap興起以來的第一次,也是涉及金額最大的一次。.
因此,我們發現,在BSC上的協議并不比在以太坊安全。
CZ不會救你,他們的交易確實便宜了,但沒有獨創的發展。
一旦以太坊Layer2落地了,BSC這條企業鏈將會變成什么樣?
Tags:ANC以太坊NCEMEEPokelon.Finance以太坊最新價格人民幣Yearn Finance Centercoinmeet幣行情
“今天坐地鐵要出示綠碼,我不小心打開了基金,居然通過了”。2021年節后,港股、A股迎來大面積回撤,白酒沉默,新能源落淚.
1900/1/1 0:00:00原標題:HashKey研報|了解NFT全生態本文為HashKeyCaptial研究團隊對NFT行業的最新研究報告,為廣大讀者和加密愛好者展現了NFT生態全貌.
1900/1/1 0:00:00下文將介紹在保持市場中立的條件下,如何從永續掉期資金費率中套利。但是由于市場在不斷變化,下文提到的策略不是任何時候都有效,完全取決于市場狀況.
1900/1/1 0:00:00一場熱鬧的數字人民幣紅包大戲,隨著中簽揭曉,逐漸回歸平靜。首次嘗試的背后,給成都留下了什么?帶來怎樣的思考? 熱紀錄 多個紀錄凸顯活動“廣度”,一個現象體現城市“溫度”成都在數字人民幣紅包試點中.
1900/1/1 0:00:00律動BlockBeats消息,3月11日,以太坊EIP-1559提案已確定將在以太坊7月的倫敦升級中執行。然而該提案一直被廣大礦工所反對.
1900/1/1 0:00:00Filecoin檢索藍海的先行者:Slate、TheGraph、ChainSafe等 IPFS原力區 剛剛 9檢索服務作為Filecoin核心協議之外的二級市場,仍處于一片藍海.
1900/1/1 0:00:00