一、事件概覽
北京時間2021年3月4日,根據輿情監測,BSC生態DeFi項目Meerkat?Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。原文鏈接
成都鏈安安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat?Finance項目方已經跑路。
LBank今日上線LEND和PLU交易:據悉,LBank將于2020年7月31日18:30上線LEND/USDT、PLU/USDT交易對。并于7月31日18:00開啟充值。
為慶祝此次交易上線,LBank將啟動針對LEND、PLU的站內流動性挖礦活動,獎勵幣種為LEND。用戶通過在指定交易對盤口的前10檔掛單來獲得獎勵系數,每日獎池1000 枚LEND,活動持續7天。更多詳情請關注LBank官網公告。[2020/7/31]
圖1
Youbi交易所今日上線YT,最高漲幅1000%:據官方公告消息,優幣全球站于2020年5月15日14:00(GMT+8)開通YT/USDT交易。最高漲幅1000%,現穩定在220%。據悉,YT是Youbi交易所基于以太坊發行的全球積分,恒定發行總量10億枚,首期發行1000萬母幣,剩余9.9億分五個階段發行,十年發行完畢。作為Youbi平臺積分的YT,不僅具備了通證的特定屬性,還是整個平臺重要組成部分:使用YT抵扣手續費(按照實時價格抵扣,最低按發行價0.15U抵扣);同時平臺的手續費收入全部都將用于回購YT,并進行銷毀,保證YT價值提升,維護生態有序發展。[2020/5/16]
圖2
公告 | OKEx將于7月1日17:00上線FTM:據OKEx公告,OKEx上線FTM,6月28日17:00開通FTM充值,7月1日17:00上線FTM/USDT、FTM/USDK的市場交易,7月2日 17:00開通TM提現。[2019/6/28]
二、事件分析
緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。
圖3
圖4
根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:
圖5
成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:
圖6
最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。
三、安全建議
成都鏈安安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。
最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。
在此,成都鏈安安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
BSC授權檢查地址如下:https://bscscan.com/tokenapprovalchecker?
2021年3月10日,由中國移動通信聯合會區塊鏈專業委員會牽頭、杭州賽道領跑網絡科技有限公司主辦的《中國餐飲產業區塊鏈發展報告》項目啟動會.
1900/1/1 0:00:00本文來自Medium,原文作者:JamesSurowieckiOdaily星球日報譯者|Moni 最近的NFT熱潮,更多是由投機者推動,而不是真正的支持者.
1900/1/1 0:00:00昨日拜登政府1.9萬億經濟刺激方案通過關鍵環節獲參議院同意后,加密貨幣市場在股市、債市休市時出現大幅回彈,反映了市場對通脹前景的預期.
1900/1/1 0:00:00來源:21世紀經濟報道 作者:胡天姣編輯:曾芳 美債在三月間賺足了眼球,但比特幣依舊以其價格反復波動的態勢爭得新聞版面,期間伴隨著機構們的不斷持有以及監管措施的浮現.
1900/1/1 0:00:00PascalBoyart是一位巴黎街頭藝術家。2019年1月,他在一個工人階級的街區畫了一幅涂鴉,這幅作品以EugèneDelacroix的名作《自由領導人民》為靈感,并加以現代化的演繹.
1900/1/1 0:00:00律動BlockBeats消息,在EOS聯合創始人BM發布其新項目ClarionOS后,引發了部分投資者對其「割韭菜」「圈錢」的爭議,對此,3月4日,BM發布推特回應稱.
1900/1/1 0:00:00