砸盘、销号、解散社群 Merlin Lab“跑路三连”暴露了DeFi哪些问题？

抛售代币、注销推特、微信群解散，昨夜BSC机池项目MerlinLab上演一出火速“大逃亡”。

6月29日15点24分，Merlin Lab遭到黑客攻击。据区块链安全公司PeckShield分析，Merlin Lab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞，合约误将收益者转账的 BNB 作为挖矿收益，使得合约增发更多的 MERL 作为奖励。经过重复操作，攻击者获利 30 万美元。MERL 短时腰斩，从 $16.23 跌至 $6.09。

Merlin Lab在这次攻击中反映很快，只不过这个“快”出乎大多数人的意料：

大多数没有想到，项目方对攻击事件的处理是关停项目。

根据项目方的说法，屡次遭受黑客攻击之后，开发人员对项目前景不乐观，并认为没有更多的经验去应对未来潜在的挑战，最初的愿景无力实现，只得无奈关停项目。

Alameda回应砸盘BIT质疑：不是1亿枚BIT抛售者，将会给出资金证明:11月8日消息，Alameda Research联席CEO Caroline Ellison在推特上回应Bybit CEO对其砸盘BIT的质疑，称“我们现在很忙，但那不是我们，等事情平息后，我们会给你资金证明。”

此前消息，Bybit首席执行官Ben Zhou在社区对BIT暴跌做出回应，称有人违背承诺抛售所持1亿枚BIT，BitDAO社区还发布了新提案，要求Alameda限时将1亿BIT代币转至链上地址，否则将处置金库中的FTT。[2022/11/8 12:32:04]

目前，项目方官网依旧可以访问，资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件，暴露了DeFi以下问题：

万卉：黑客会把NXM换成wNXM，wNXM持有者只能眼睁睁看着被砸盘:针对今晚Nexus Mutual创始人被黑客盗走800多万美元NXM事件，Primitive Ventures创始合伙人万卉发布微博表示，黑客会将NXM换成wNXM，wNXM持有者只能眼睁睁看着被砸盘，以下为微博原文：

NXM被黑的填坑部分我单独发一下：再次感叹整个Defi食物链的顶端，真的是黑客/科学家们。。。 黑掉Nexus Mutual的黑客不仅拿到了Huge Karp的电脑的远程控制(呃，Karp可能用的是Windows? MacOS上会被恶意远程控制的漏洞很少) ，为了收割Karp手上NXM还去做了Nexus Mutual的KYC (已经精心准备了很久，可见有KYC也没啥用) 黑的过程其实比较常见，就是trick Karp去签了一个看似正常的交易，但是实际的交易是把币发给了自己。

因为Karp手上肯定没有大量的wNXM而是有大量的NXM，所以必须要在内盘内完成“钓鱼”的工作。然后钓鱼完成后，NXM本身的价格只要跌到了MCR100%的时候，黑客必然知道无法靠Bonding curve出货，所以非常老练的直接把拿到的NXM wrap掉，去外部砸盘。

现在NXMwNXM是个单向的流通：wNXM的持有者无法拿着wNXM去赎回NXM，原来在MCR>100%以上的时候，只要wNXM价格低于NXM本身，外盘的wNXM持有者可以赎回NXM回到内盘在Bonding Curve上卖掉。但是现在MCR=100%的时候，相当于这个口子卡死了，虽然NXM可以卡在MCR=100%的这个价格上，但是wNXM无法赎回。所以现在wNXM的持有人只有躺着被黑客砸盘，没有任何办法... 心疼拿着wNXM的老铁，还有给wNXM在AMM上做市的LP。[2020/12/15 15:11:28]

1）到底是团队作恶还是正常黑客攻击？

分析 | 神秘力量在币安持续砸盘:合约帝平台实盘玩家AKG-Chuck数据分析：近期比特币交易量持续低迷，价格保持窄幅波动，但是币安平台持续出现一系列相似特征的转入，表现为“单笔转账都是100个比特币，转账时间十分集中，转入地址均为币安，转出地址均为匿名钱包，且所有转出地址都是相关的，明显为同一控制人”，这些币转入币安后，两小时内币安上比特币的价格就会率先领跌其他交易所；神秘力量持续干扰市场，请大家注意交易风险，特别是合约玩家，陪鲸鱼共舞，很容易被误伤。[2019/8/13]

2）审计过的项目是否一定安全？

3）匿名项目是否值得信任？

4）项目方认输的成本低，给投资人造成的损失怎么办？

PeckShield认为，这次事件有可能是团队作恶。

声音 | 火币CEO七爷：火币动用假币砸盘是谣言:近日有传闻称，火币內部资金出现问题，并动用假币砸盘。对此火币CEO七爷刚刚在微信朋友圈表示这类消息是谣言，并称：组织传谣的痕迹还是太明显了。[2019/7/19]

比如有一个疑点是：合约还没有准备好，为什么要急着部署在自己的主网上呢？

团队作恶可能是：①核心人员主动作恶；②部分人员偷偷作恶；③部分人员与外部黑客联手，里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目wiki、解散微信群、抛售代币等操作，似乎有理由让人怀疑这是团队主动作恶。

不过，这次攻击获利金额大约是30万美元，Merlin Labs 在被攻击前的TVL大约有2亿美元。如果是核心团队主动作恶，这个收益看上去没有足够的诱惑力。

业内人士：一些交易所联合庄家拉盘砸盘已是公开的秘密:一名数字货币资深业内人士称，一些交易所联合庄家拉盘砸盘，在数字货币交易市场中是一个公开的秘密，“一般是交易平台加媒体加庄家合谋。庄家大部分是从股票、期货行业转型过来的人。”“像股票要受到证监会的监管，没有监管的就是自由市场，大市场吃小市场。”[2018/4/20]

项目方关停项目并没有关闭项目网站，仍旧给投资人时间提取资金。这种做法似乎说明是②或者③的可能性大一些。

也有可能完全是来自外部黑客攻击，实属巧合。

大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。

不过，审计过的项目并非一定安全。5月份发生的BSC集中被黑客攻击案例，其中不少项目是经区块链安全公司审计过了的。

PeckShield告诉巴比特，防御攻击不是一个静态的过程，它是个动态的过程。

简而言之，需采用“事前事中事后”三段式防御模式，在新合约上线之前要进行全面而专业的智能合约安全审计，这一步主要是帮助协议排查已知的各类漏洞，审计并不能解决所有问题。

此外，还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞，避免出现跨合约的逻辑兼容性漏洞；要设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。

在其他协议发生安全事件后，要对自己的协议进行仔细地查缺补漏，是否有相似的漏洞，是否有潜在的风险。我们认为除了需要构建安全的预言机策略，还要透彻理解协议，在预言机这一源头上下功夫，做到从审计角度查出问题，提供可靠的链下解决方案，及时查缺补漏，才能减小因预言机传达失真数据而带来的价格操纵风险。

根据Debank排行榜，目前排名前十的DeFi项目，几乎都是实名的。

比如，Curve创始人Michael Egorov，和V神一样是俄罗斯人。Aave创始人兼首席执行官Stani Kulechov，曾在赫尔辛基大学攻读法律专业。Uniswap创始人 Hayden Adams毕业后第一份工作就被裁员，然后世界上少了一名青年电气工程师多了一位DeFi开创者。

其他的像Compound（创始人Robert Leshner）、MakerDAO（创始人Rune Christensen）、Liquity（创始人Robert Lauko）也都是实名项目。Venus项目由Swipe团队支持（目前已经改组，Swipe退出项目决策层），Swipe是Binance投资公司。

只有PancakeSwap和SushiSwap的团队是匿名的。不过，SushiSwap的几个核心开发者在推特还算比较活跃，在国内也有专门的中文运营社区。

虽然区块链讲究去中心化、去信任，实际情况却是，实名项目更容易赢得投资人信任。

遗憾的是，Merlin Labs是匿名项目。

Merlin Labs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反，项目方的做法是迅速抛售代币然后宣布项目解散。

这种做法直接导致已经腰斩的币价走向归零。

（项目方抛售代币前，MERL价格在8美元左右，抛售后跌至0.1-0.2美元）

币价暴跌，同样导致为项目提供流动性的LP损失惨重。

可以毫不客气地说，项目方这样做是极不负责任的，完全置投资者利益于不顾。

昨晚抄底的投资者成本多在6-8美元区间，一觉醒来归零。

由于项目方是匿名的，同时项目推特注销、电报群禁言、微信群解散，受损失的投资人几乎无处讨要说法。

DeFi没有监管，在“Code is law”的区块链世界投资人除了寄希望于项目代码安全，还有就是靠项目方自我道德约束，一旦这两道防线被突破，投资人似乎只能自认倒霉。

标签：NXMwNXMMERLMERARNXM价格wNXM价格MERL币GROOMER币

币安币热门资讯