比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 火幣APP > Info

MEE:Meerkat Finance跑路事件分析:上線不到1天就攜款跑路 3000萬美金被卷走

Author:

Time:1900/1/1 0:00:00

北京時間2021年3月4日,根據[鏈必安-區塊鏈安全態勢感知平臺(Beosin-OSINT)]輿情監測,BSC生態DeFi項目Meerkat Finance疑似跑路,其自稱金庫合約遭遇到黑客攻擊,黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。

成都鏈安(Beosin)安全團隊第一時間針對該事件啟動安全響應,針對用戶攻擊地址

(0x9542966f1114eaa5859201aa8d34358bfedbfa79)

進行跟蹤。經過跟蹤攻擊者地址,我們發現,攻擊者分別地一次性地將大量資金進行轉出,如圖1所示。盡管官方自稱是遭遇了黑客攻擊,但根據我們的分析結果,基本能夠斷定Meerkat Finance項目方已經跑路。

Qitmeer生態Kahf錢包節點遭受DDoS攻擊,團隊正在緊急調查修復:3月17日消息,據官方消息,3月17日下午1點,Qitmeer Network生態錢包Kahf Wallet節點遭受DDoS攻擊,導致網絡堵塞,用戶可能會遇到服務中斷的問題。目前LBank和Bkex充提業務已被暫停,具體開放時間另行通知。

Qitmeer Network安全團隊正在緊急調查修復中,請錢包用戶注意資產安全,請勿點擊任何非官方鏈接,所有網絡用戶可在官網的驗證通道進行管理員信息核驗。[2023/3/17 13:10:58]

Meebits系列NFT24小時交易額突破2400萬美元 漲幅達191.4%:金色財經消息,據NFTGo.io數據顯示,Meebits系列NFT總市值達7.47億美元,在所有NFT項目總市值排名中位列第4;其24小時交易額為2495.94萬美元,漲幅達191.4%。截止發稿時,該系列NFT當前地板價為6.89ETH。[2022/4/28 2:35:13]

圖1

KuCoin(庫幣)上線GMEE,現已開放充值:據KuCoin(庫幣)官方公告,KuCoin宣布上線GAMEE (GMEE) 項目并支持GMEE/USDT交易對,目前已開啟GMEE的充值服務,并于6月9日17:00正式開放交易。

據悉,GAMEE是一個具有參與度的超休閑游戲平臺,GMEE通證將作為游戲中的獎品提供給玩家。

KuCoin(庫幣)旨在發掘全球優質區塊鏈項目,為來自207個國家的800萬用戶提供現貨、杠桿、合約、Staking 、借貸等一站式服務。[2021/6/8 23:21:33]

圖2

公告 | 幣安已完成ADD、MEETONE 的分發:幣安發布公告稱,已完成所有 ADD、MEETONE 的分發工作。本次分發是基于2018年06月02日17:59:59(UTC+8)的EOS快照(含掛單),區塊高度5,721,760,ADD按照2 EOS=1 ADD分發,MEETONE按照2 EOS=1 ADD分發。目前ADD、MEETONE已經開放提現。[2018/7/4]

緊接著,我們開始針對轉移盜竊資金的兩筆交易進行分析,發現攻擊者直接通過調用金庫合約的一個函數,將金庫合約中的資金全部轉走;而金庫合約使用的是可升級的代理合約,也就是實際邏輯是可以進行更改的,其權限在項目方。

圖3

圖4

根據記錄還可得出,項目方在WBNB金庫盜竊中,代理合約的實際邏輯還是正常的金庫合約,在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中,項目方索性扯下了自己的“遮羞布”,一開始就部署的是存在后門的合約。如圖5所示:

圖5

成都鏈安(Beosin)安全團隊發現兩次攻擊所用的后門合約都是同一套代碼,我們在對其中一個合約進行反編譯時分析發現,其就是一個將代幣進行轉移的函數。如圖6所示:

圖6

最終,我們得出結論,本次事件顯然是項目方預謀的釣魚事件,從一開始就是奔著跑路去的;而在本次事件中,代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限,導致項目方盜取用戶資金,如同探囊取物。

成都鏈安(Beosin)安全團隊認為,對于“可升級的代理合約”,在審計角度來看,為了保證項目的可維護性和迭代可能,保留這類權限并不是不可取的。即使在日常的安全審計工作中,我們也不能要求項目方取消這類權限。但權力是一把雙刃劍,是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中,我們一直以來都有對此類權限加以說明。同時,在這里有必要提醒廣大用戶選擇投資項目時,一定要詳細閱讀安全審計報告中的細節描述,特別是我們給出的潛在風險提示及安全建議。

最后,需要引起注意到是,我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜16萬BUSD。

在此,成都鏈安(Beosin)安全團隊特別提醒各位已參與此項目的用戶,立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。

BSC授權檢查地址如下:

https://bscscan.com/tokenapprovalchecker

Tags:MEEEOSSINADDmeet幣發行價EOSDACSIMPSONSINU幣DADDYCAKE

火幣APP
比特幣:可否比肩黃金?何時配置?全球最大對沖基金詳解比特幣

在債券收益率已趨于零,全球大多數央行“放水”大環境下,投資者不得不去尋找新的財富儲藏工具,當下火熱的加密貨幣比特幣成為關注焦點.

1900/1/1 0:00:00
區塊鏈:中國區塊鏈政策普查及監管趨勢分析報告(上)

報告摘要: 1、2020年區塊鏈產業政策迎來井噴式增長,截至2020年12月31日,中央各部委及各地方政府發布區塊鏈相關政策至少600部,較2019年上漲近8倍.

1900/1/1 0:00:00
DEF:金色DeFi日報 | DEX 2月交易量接近730億美元 創歷史新高

DeFi數據 1.DeFi總市值:736.46億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:17.

1900/1/1 0:00:00
區塊鏈:基于區塊鏈的去中心化應用的四種架構模式

區塊鏈有各種各樣的用例集,從金融到去中心化互聯網。但是,大多數區塊鏈用例可以使用相對較少的模式來實現。例如,基于區塊鏈的應用程序的模式集合提供了15種區塊鏈模式的列表.

1900/1/1 0:00:00
區塊鏈:金色觀察丨何時才能發揮整公鏈系統實用價值?

金色財經 區塊鏈3月3日訊? 2021年剛開篇,加密貨幣行業就迎來了一個好消息:美國貨幣監理署(OCC)代理署長布萊恩·布魯克斯(Brian Brooks)發布了一封解釋信函.

1900/1/1 0:00:00
區塊鏈:四大策略 玩轉期權

期權是經驗老道投資者的趁手工具,它們以不同的方式為不同資產提供多樣化的風險敞口。無論是對波動性進行對沖,利用杠桿敞口進行投機,還是通過賣出合約賺取權利金。投資者都可利用期權來發揮自己的優勢.

1900/1/1 0:00:00
ads