注:原文来自rekt。
回想起来,这是不可避免的。
这是发生在币安智能链上的首次令人印象深刻的攻击事件,MeerkatFinance丢失的资金排到了排行榜的第三位。
在仅仅运营一天之后,MeerkatFinance就卷走了1300万BUSD以及大约73000BNB,目前涉及资金总额约为3100万美元。
我们一直在观察币安智能链,其网络似乎正复制以太坊DeFi夏天的发展走势,当一些项目方通过复制的代码建立足够的资本后,就出现了卷款跑路的现象。
而这一事件的后续,将会是一种非常有趣的情况。
分析 | 4小时图RSI表明BTC看涨势头已经减弱 可能回调至7200美元:Coindesk分析师称,在4小时图上,相对强弱指数(RSI)较低高点表明,BTC的看涨势头已经减弱,价格可能回调至上行趋势线的支撑位7200美元。如果跌破50小时移动平均线(MA)的支撑位7872美元,将进一步证明价格会回调,在过去24小时已两次回调至该移动平均线。如果每小时图上的RSI违背了下跌趋势线,代表了熊市的背离,那么可能上涨至8500美元甚至更高。然而,由于每日RSI报告极度超买状况,BTC价格可能很难维持在8500美元上方(2018年7月的高点)。[2019/5/15]
CZ及其团队会不会回滚他们的公司链,或者就这么让用户遭受损失?
这样的局使得小偷无处藏身,在这么一条链上,他们能跑到哪里去呢?币安关闭了桥梁,甚至bscscan.com也暂停了一会儿。是流量太大,还是某种类型的烟幕弹?
MeerkatFinance最初声称这是一次黑客攻击,但随后该项目方删除了他们的账户,只剩下BSC用户自己,或者去怪币安。
分析 | EOS竞技类游戏DApp Gameboy被攻击手法:今天下午1-2点,EOS竞技类游戏Gameboy遭受攻击,攻击者续集部署攻击合约并调用发射函数发起攻击,慢雾安全团队经过分析并与项目方联系确认,此次攻击原因为随机数算法被攻击者破解,项目方错误的将可预测因子加入随机数算法。
慢雾安全团队建议广大项目方及开发者,不要在随机数生成算法中引入可控或者可预测的种子。此外我们已通知目标交易所封堵攻击者获利所得EOS。[2019/2/15]
感谢0xdeadf4ce提供的帮助。
MeerkatFinance部署者升级了该项目的2个金库。
分析 | Seachain.io: 法币交易所成交额近4天持续上升 ETH数据无明显波动信号:根据Searchain.io数据分析:昨日ETH市场较前日相比活跃度有所增长。大额转账5000-10000和10000+的数量均有所增长,大户活动较前日活跃程度增加。昨日法币交易所成交额与前日相比有明显增长,近四天一直呈增长状态。普通交易所和合约交易所成交额变化不大。根据数据分析,ETH市场投资者参与度整体呈小幅上升趋势,但并无明显波动信号。
投资有风险,入市须谨慎。
本资讯不作为投资理财建议。[2018/11/14]
攻击者地址通过Vault代理调用无需许可初始化函数,有效地允许任何人成为Vault所有者。
攻击者随后通过调用签名为0x70fcb0a7的函数来耗尽金库,该函数接受了一个代币地址作为输入。升级为智能合约的反编译,显示了所调用函数的唯一用途是移除以所有者为受益人的资金。
通常,如果合约具有允许所有者主动取回策略/金库中使用资产的函数,那么你就是在信任这个项目团队。
分析 | 2018年ICO筹集的资金数量或难以准确计算:据彭博报道,由于缺乏监管和透明度,2018年ICO筹集的资金或很难计算。随着加密货币市场接较其峰值跌近80%,ICO热潮也在萎缩。就ICO而言,当没有人提交任何受管制的文件,甚至没有透露其身份时,仍难以确定发行人声称其筹集的资金数额是否准确。Elementus联合创始人Nuria Gutierrez Prunera说:“由于能够追踪实际交易,因此链上数据更加可靠和全面,这也是他们筹集资金的原因。缺点是,链上数据不能确定法定货币的投资数额。”[2018/11/5]
而他们可以随时选择跑路。
这就是为什么像yearn这样的项目会添加如下图所示的检查函数,这样项目方就只能取回那些没有被策略/机池所使用的资金。
分析 | Thomas Lee民意调查:用户更多看好XRP而非BTC:据CryptoCoinSpy消息,近日Fundstrat创始人兼研究主管Thomas Lee在推特上发起了一项民意调查,该民意调查围绕影响加密价格的最重要的宏观因素、加密价格在经济衰退中的表现等六个问题开展,其中,“您认为哪种令牌在未来12个月内表现最佳?”6000名受访者中42%选择了XRP,而只有34%的受访者选择了BTC,16%的受访者选择了ETH。[2018/10/1]
两个受影响的金库都使用了OpenZeppelin的透明代理升级模式,通过在Vault代理级别上调用upgradeTo函数,可以将Vault逻辑升级到新的逻辑实现。
BUSD金库的先前实现部署在0x49509a31898452529a69a64156ab66167e755dfb,而WBNB金库的先前实现部署在0x3586a7d9904e9f350bb7828dff05bf46a18bb271,两者都是相当不起眼的。
MeerkatFinance部署者调用了upgradeTo函数两次:
在区块高度5381239时,将WBNBVault实施地址设置为0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
在区块高度5381246时,将BUSDVault实施地址设置为0xb2603fc47331e3500eaf053bd7a971b57e613d36;
这改变了金库逻辑,引入连个值得注意的函数,而它们并非是最初实现的一部分。
init(地址所有者)
根据反编译字节码,此函数将存储slot0上的地址设置为提供给该函数的地址;
无需权限检查,这个新添加的函数成为了攻击者闯入金库的最终后门。
在透明代理中使用特定的Initializer模式是最佳实践,并且已在第一个Vault实现中应用,因此除了计划盗窃Vault资金之外,添加init方法的意图也是非常值得怀疑的。
0x70fcb0a7(address_param1)
源代码不可用,反编译源仅限于检查调用者是否等于init方法中设置的存储slot0,并使用金库地址作为查询目标,转出param1随附的代币合约上的balanceOf。这两种功能都不是以前Vault实现的一部分。
比较新旧实现的字节码大小,我们可以发现,新实现的字节码大小仅为以前逻辑的1/4。
由于升级是MeerkatFinance部署者完成的,考虑到链上数据的所有方面,因此这次事件最有可能的情况是蓄意的跑路事件,而私钥泄露的可能性是非常小的。
截至这篇文章发布时,被盗资金的部分已被分配到不同的地址,并被发送到似乎属于币安交易所托管的币安桥。
Binance.org桥目前已暂停,可能是为了避免资金被轻易转移到其他区块链。
时间线
2021年3月4日上午UTC时间08:53:10,MeerkatFinance部署者将WBNB金库改到合约0x9d3a4c3acee56dce2392fb75dd274a249aee7d57;
2021年3月4日上午UTC时间08:53:31,MeerkatFinance部署者将BUSD金库改到合约0xb2603fc47331e3500eaf053bd7a971b57e613d36;
2021年3月4日上午UTC时间08:54:31,攻击者调用BUSD金库上的0x70fcb0a7方法以转出13,968,039BUSD
2021年3月4日上午UTC时间08:54:55,攻击者调用WBNB金库上的0x70fcb0a7方法以转出73,635WBNB
同样的把戏在不同的链上发生过,但权力的平衡是不同的。在CZ的监视下,桥梁被烧毁了,强盗无处藏身。
即使是在Meerkat_Rugpull电报群中,关于币安如何处理这种情况的问题,聊天成员们也没有达成共识。
币安会回滚区块链并将钱退给用户吗?
答案并不是那么清晰,21名神秘验证者理论上可以安排退款,但可能性并不大,这只会助长CeDeFi的问题,并为BSC律师创造更多的工作。
币安如何处理这次事件,可能会开创一个先例。
虽然这并不是发生在BSC上的第一次卷款跑路事件,但这是自PancakeSwap兴起以来的第一次,也是涉及金额最大的一次。.
因此,我们发现,在BSC上的协议并不比在以太坊安全。
CZ不会救你,他们的交易确实便宜了,但没有独创的发展。
一旦以太坊Layer2落地了,BSC这条企业链将会变成什么样?
标签:ANCNCENANERKZone of AvoidanceBundles FinanceAltpay FinanceTerkehh
Filecoin检索蓝海的先行者:Slate、TheGraph、ChainSafe等 IPFS原力区 刚刚 9检索服务作为Filecoin核心协议之外的二级市场,仍处于一片蓝海.
1900/1/1 0:00:00证券日报记者张志伟见习记者张博近日,500彩票网官网披露,其董事会投票通过了关于公司更名的决议,公司中文名称变更为“比特矿业”,公司英文名称从“500.comLimited”变更为“BITMiningLimited”.
1900/1/1 0:00:00本文来自?Ambcrypto,作者:SamyukthaSriramOdaily星球日报译者|余顺遂由于美国证券交易委员会仍不愿批准ETF,美国ETF发行商一直在寻找以更具创造性的方式来构建产品.
1900/1/1 0:00:00详解中心化交易所永续合约机制:问题、发展和特点 链闻ChainNews 刚刚 23 理解加密货币永续合约的特点、关键机制与潜在问题。加密货币市场衍生品主要包括杠杆交易、期货合约、期权合约和杠杆代币.
1900/1/1 0:00:00.new_summary,blockquote{position:relative;font-size:16px;letter-spacing:1px;line-height:28px;margin-bottom:40px;paddi.
1900/1/1 0:00:00市场情绪:根据来自非小号的数据显示,截止发稿前24小时全市场主要虚拟币上涨家数占比64.60%,大幅多于下跌家数的35.40%,市场情绪明显升温。需要注意,该数据采集基础为24小时前,有一定滞后性,并不能作为唯一的研判依据.
1900/1/1 0:00:00