抛售代币、注销推特、微信群解散，昨夜 BSC 机枪池项目 MerlinLab 上演一出火速“大逃亡”。

6 月 29 日 15 点 24 分，MerlinLab 遭到黑客攻击。据区块链安全公司 PeckShield 分析，MerlinLab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞，合约误将收益者转账的 BNB 使得合约增发更多的 MERL 作为奖励。经过重复操作，攻击者获利 30 万美元。MERL 短时腰斩，从 $16.23 跌至 $6.09。

MerlinLab 在这次攻击中反映很快，只不过这个“快”出乎大多数人的意料：

16:54，项目方开始着手调查此事。

17:24，项目方得出初步结论，是经济规则漏洞被利用了。

23:27，宣布关闭项目，通知用户停止存款并及时提取资金。

30 日零点 26 分，项目方开始抛售代币。

大多数没有想到，项目方对攻击事件的处理是关停项目。

根据项目方的说法，屡次遭受黑客攻击之后，开发人员对项目前景不乐观，并认为没有更多的经验去应对未来潜在的挑战，最初的愿景无力实现，只得无奈关停项目。

目前，项目方官网依旧可以访问，资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件，暴露了 DeFi 以下问题：

1）到底是团队作恶还是正常黑客攻击？

2）审计过的项目是否一定安全？

3）匿名项目是否值得信任？

4）项目方认输的成本低，给投资人造成的损失怎么办？

1. 黑客是自己人？

PeckShield 认为，这次事件有可能是团队作恶。

比如有一个疑点是：合约还没有准备好，为什么要急着部署在自己的主网上呢？

“与 AlpacaFinance 相关的单一资产机枪池今早刚刚上线 MerlinLabs 主网做测试，存在漏洞的合约尚未公布，也未提供给用户……实施这一攻击需要内幕信息，由于合约的部署、上线、审计经手多人，因此内幕人士有多个可能。”

团队作恶可能是：①核心人员主动作恶；②部分人员偷偷作恶；③部分人员与外部黑客联手，里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目 wiki、解散微信群、抛售代币等操作，似乎有理由让人怀疑这是团队主动作恶。

不过，这次攻击获利金额大约是 30 万美元，MerlinLabs 在被攻击前的 TVL 大约有 2 亿美元。如果是核心团队主动作恶，这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站，仍旧给投资人时间提取资金。这种做法似乎说明是 ② 或者 ③ 的可能性大一些。

也有可能完全是来自外部黑客攻击，实属巧合。

2. 审计的项目安全吗？

大多数 DeFi 项目会找审计公司出具审计报告为项目的安全性背书。

不过，审计过的项目并非一定安全。5 月份发生的 BSC 集中被黑客攻击案例，其中不少项目是经区块链安全公司审计过了的。

PeckShield 告诉巴比特，防御攻击不是一个静态的过程，它是个动态的过程。

简而言之，需采用“事前事中事后”三段式防御模式，在新合约上线之前要进行全面而专业的智能合约安全审计，这一步主要是帮助协议排查已知的各类漏洞，审计并不能解决所有问题。

此外，还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞，避免出现跨合约的逻辑兼容性漏洞；要设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。

在其他协议发生