區塊鏈:分析 | 3100萬美元被惡意卷走，幣安會為用戶回滾BSC嗎？

注：原文來自rekt。

回想起來，這是不可避免的。

這是發生在幣安智能鏈上的首次令人印象深刻的攻擊事件，MeerkatFinance丟失的資金排到了排行榜的第三位。

在僅僅運營一天之后，MeerkatFinance就卷走了1300萬BUSD以及大約73000BNB，目前涉及資金總額約為3100萬美元。

我們一直在觀察幣安智能鏈，其網絡似乎正復制以太坊DeFi夏天的發展走勢，當一些項目方通過復制的代碼建立足夠的資本后，就出現了卷款跑路的現象。

而這一事件的后續，將會是一種非常有趣的情況。

CZ及其團隊會不會回滾他們的公司鏈，或者就這么讓用戶遭受損失？

分析 | LocalBitcoins交易數據無法解釋“伊朗局勢引發比特幣上漲”猜想:伊朗局勢引發的緊張情緒被一些分析師認為是近期比特幣出現飆升的原因，然而，點對點比特幣交易平臺LocalBitcoins上最近的交易數據似乎并不符合這一解釋。假設比特幣最近的上漲系因其避險屬性，那么常理來看，LocalBitcoins上的伊朗用戶的購買興趣應會飆升。然而，在過去的一周中，BTC/IRR（伊朗里亞爾）交易對的成交量僅為708美元。事實上，自去年夏天比特幣價格飆升以來，伊朗用戶對比特幣的購買興趣實際上一直在下降。[2020/1/7]

這樣的騙局使得小偷無處藏身，在這么一條鏈上，他們能跑到哪里去呢？幣安關閉了橋梁，甚至bscscan.com也暫停了一會兒。是流量太大，還是某種類型的煙幕彈？

MeerkatFinance最初聲稱這是一次黑客攻擊，但隨后該項目方刪除了他們的賬戶，只剩下BSC用戶自己，或者去怪幣安。

分析 | BTC周線大概率處于盤底階段 后續將迎來主升浪:分析師K神表示：周線上，當前仍屬于前期大陽線突破后的回踩震蕩走勢，前期周線反復測試MA100均線獲得有效支撐后，直接放量長陽突破19點頂點回落的中期下降趨勢線，不過后面量能未能維持，價格也未能站穩10000美元上方，再度回落至三角上邊線8800美元附近測試支撐，然后再小幅回升至9100美元上方，本周回踩量能相對縮量，周線MACD紅柱縮短，DIF線下降速度放緩，整體仍屬于健康走勢，大方向有企穩構筑階段底的跡象，預計后面一段時間BTC大概率將處于8500-10000美元區間寬幅震蕩盤底，蓄勢后有望向上沖擊19年高點14000美元。[2019/11/1]

感謝0xdeadf4ce提供的幫助。

分析 | BTC動能積累已到位 已到調整末期即將做出方向選擇:在本期金色財經的《幣情觀察室》上，針對近期主流幣的上漲的問題，Max巨鯨表示：BTC上一波大漲從9311至10907已半月，這個盤整時間已經夠了，該有的動能也積累的到位了，多空都表現較為乏力。

但價位已經逼近三角整理末端，已經到了調整末期，即將做出方向選擇，準備蓄勢進攻，爆發已經到位，僅僅差一根導火線的引燃。

近期主流幣龍頭輪動依次接力拉升，但大餅紋絲不動，保持弱勢震蕩運行，說明多頭短線拉升的意圖并不強。

在這種情況下，只要不向上突破下降趨勢線，就都當空頭趨勢對待，后市直接下跌突破或反彈到趨勢附近在下跌都是有可能的。而目前的價格距離趨勢線位置也不遠了。

XRP這波的表現出現了絕大多數的預料從底部起來漲幅達到20%。9月17日XRP突然拉出一根大陽線。打得眾人措手不及，然后18日繼續強勢拉升，現在在0.30高位整盤中。

瑞波上半年長期盤在底部，遇到行情不漲，反跌。被罵成一動不動是王八沒想到莊家是真能忍。每月釋放10億代幣。市值卻常年保持第三。實力真不是鬧著玩的。

現在只是EOS、ETH、XRP展開拉升，這些主流幣當中，將會再出現一輪超級補漲，巨鯨建議：現在不需要去做BTC，而是跟蹤其中某一主流幣。[2019/9/18]

MeerkatFinance部署者升級了該項目的2個金庫。

分析 | 國家互聯網應急中心：隨著區塊鏈應用的擴大，安全問題將會更加凸顯:據光明網消息，國家互聯網應急中心(CNCERT)16日在京發布的《2018年我國互聯網網絡安全態勢》報告顯示，區塊鏈技術受到國內外廣泛關注并快速應用，從數字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈應用的范圍和深度逐漸擴大，數字貨幣被盜、智能合約、錢包和挖礦軟件漏洞等安全問題將會更加凸顯。[2019/4/16]

攻擊者地址通過Vault代理調用無需許可初始化函數，有效地允許任何人成為Vault所有者。

攻擊者隨后通過調用簽名為0x70fcb0a7的函數來耗盡金庫，該函數接受了一個代幣地址作為輸入。升級為智能合約的反編譯，顯示了所調用函數的唯一用途是移除以所有者為受益人的資金。

通常，如果合約具有允許所有者主動取回策略/金庫中使用資產的函數，那么你就是在信任這個項目團隊。

分析 | 德勤：84％的高管對采用區塊鏈技術表示樂觀:據ambcrypto報道，審計和稅務服務公司德勤（Deloitte）最近的一份報告顯示，盡管存在諸如高成本和低回報等缺點，但全球相當數量的企業正在為區塊鏈技術建立新用例和專利投入時間和資源。三分之一的樣本主體已經開始為區塊鏈實現成果，而其中41％表示將在不久的將來納入區塊鏈。被調查的美國高管中，44％傾向于認為區塊鏈被過度夸大了，而全球樣本中的39％也表達了類似看法。報告還指出，約84％的受訪者對采用區塊鏈技術表示樂觀。當被問及投資支持其系統的區塊鏈技術的情況時，墨西哥的投資率最高，為42％，美國為最低約14％。據悉，共有來自7個國家的1053名受訪者被選中進行調查。[2018/8/21]

而他們可以隨時選擇跑路。

這就是為什么像yearn這樣的項目會添加如下圖所示的檢查函數，這樣項目方就只能取回那些沒有被策略/機槍池所使用的資金。

兩個受影響的金庫都使用了OpenZeppelin的透明代理升級模式，通過在Vault代理級別上調用upgradeTo函數，可以將Vault邏輯升級到新的邏輯實現。

BUSD金庫的先前實現部署在0x49509a31898452529a69a64156ab66167e755dfb，而WBNB金庫的先前實現部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271，兩者都是相當不起眼的。

MeerkatFinance部署者調用了upgradeTo函數兩次：

在區塊高度5381239時，將WBNBVault實施地址設置為0x9d3a4c3acee56dce2392fb75dd274a249aee7d57；

在區塊高度5381246時，將BUSDVault實施地址設置為0xb2603fc47331e3500eaf053bd7a971b57e613d36；

這改變了金庫邏輯，引入連個值得注意的函數，而它們并非是最初實現的一部分。

init(地址所有者)

根據反編譯字節碼，此函數將存儲slot0上的地址設置為提供給該函數的地址；

無需權限檢查，這個新添加的函數成為了攻擊者闖入金庫的最終后門。

在透明代理中使用特定的Initializer模式是最佳實踐，并且已在第一個Vault實現中應用，因此除了計劃盜竊Vault資金之外，添加init方法的意圖也是非常值得懷疑的。

0x70fcb0a7(address_param1)

源代碼不可用，反編譯源僅限于檢查調用者是否等于init方法中設置的存儲slot0，并使用金庫地址作為查詢目標，轉出param1隨附的代幣合約上的balanceOf。這兩種功能都不是以前Vault實現的一部分。

比較新舊實現的字節碼大小，我們可以發現，新實現的字節碼大小僅為以前邏輯的1/4。

由于升級是MeerkatFinance部署者完成的，考慮到鏈上數據的所有方面，因此這次事件最有可能的情況是蓄意的跑路事件，而私鑰泄露的可能性是非常小的。

截至這篇文章發布時，被盜資金的部分已被分配到不同的地址，并被發送到似乎屬于幣安交易所托管的幣安橋。

Binance.org橋目前已暫停，可能是為了避免資金被輕易轉移到其他區塊鏈。

時間線

2021年3月4日上午UTC時間08:53:10，MeerkatFinance部署者將WBNB金庫改到合約0x9d3a4c3acee56dce2392fb75dd274a249aee7d57；

2021年3月4日上午UTC時間08:53:31，MeerkatFinance部署者將BUSD金庫改到合約0xb2603fc47331e3500eaf053bd7a971b57e613d36；

2021年3月4日上午UTC時間08:54:31，攻擊者調用BUSD金庫上的0x70fcb0a7方法以轉出13,968,039BUSD

2021年3月4日上午UTC時間08:54:55，攻擊者調用WBNB金庫上的0x70fcb0a7方法以轉出73,635WBNB

同樣的把戲在不同的鏈上發生過，但權力的平衡是不同的。在CZ的監視下，橋梁被燒毀了，強盜無處藏身。

即使是在Meerkat_Rugpull電報群中，關于幣安如何處理這種情況的問題，聊天成員們也沒有達成共識。

幣安會回滾區塊鏈并將錢退給用戶嗎？

答案并不是那么清晰，21名神秘驗證者理論上可以安排退款，但可能性并不大，這只會助長CeDeFi的問題，并為BSC律師創造更多的工作。

幣安如何處理這次事件，可能會開創一個先例。

雖然這并不是發生在BSC上的第一次卷款跑路事件，但這是自PancakeSwap興起以來的第一次，也是涉及金額最大的一次。.

因此，我們發現，在BSC上的協議并不比在以太坊安全。

CZ不會救你，他們的交易確實便宜了，但沒有獨創的發展。

一旦以太坊Layer2落地了，BSC這條企業鏈將會變成什么樣？

Tags：區塊鏈ANCNCEEER區塊鏈域名如何注冊LANC價格Obtain InsuranceLivepeer Token

BTC