MerlinLab“跑路三连”揭示了DeFi存在的问题

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

抛售代币、注销推特、微信群解散,昨夜 BSC 机枪池项目 MerlinLab 上演一出火速“大逃亡”。

6 月 29 日 15 点 24 分,MerlinLab 遭到黑客攻击。据区块链安全公司 PeckShield 分析,MerlinLab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。

MerlinLab 在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:

16:54,项目方开始着手调查此事。

17:24,项目方得出初步结论,是经济规则漏洞被利用了。

23:27,宣布关闭项目,通知用户停止存款并及时提取资金。

30 日零点 26 分,项目方开始抛售代币。

大多数没有想到,项目方对攻击事件的处理是关停项目。

根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。

目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件,暴露了 DeFi 以下问题:

1)到底是团队作恶还是正常黑客攻击?

2)审计过的项目是否一定安全?

3)匿名项目是否值得信任?

4)项目方认输的成本低,给投资人造成的损失怎么办?

1. 黑客是自己人?

PeckShield 认为,这次事件有可能是团队作恶。

比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?

“与 AlpacaFinance 相关的单一资产机枪池今早刚刚上线 MerlinLabs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户……实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。”

团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目 wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。

不过,这次攻击获利金额大约是 30 万美元,MerlinLabs 在被攻击前的 TVL 大约有 2 亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是 ② 或者 ③ 的可能性大一些。

也有可能完全是来自外部黑客攻击,实属巧合。

2. 审计的项目安全吗?

大多数 DeFi 项目会找审计公司出具审计报告为项目的安全性背书。

不过,审计过的项目并非一定安全。5 月份发生的 BSC 集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。

PeckShield 告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。

简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。

此外,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

在其他协议发生

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/28441.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月25日
下一篇 2023年07月25日

相关推荐

  • uniswap怎么调gas,项目之Uniswap

    一、怎么洗闪电贷的钱如果我跟你说,有人不需要你任何抵押物,也不需要做任何信用检查就可以借给你几百万美金,你会怎么想?如果我又说,这笔钱只能借给你一秒钟,你又会怎么想?在区块链上的去中心化金融领域,我刚才说的这些并不是逗你玩,而是真实存在的服务。并且已经有人

    2024-12-19 17:00:02
    14 0
  • 币圈ico项目怎么找,ICO未死IEO又起

    一、币圈ICO是什么币圈就是关于数字货币(虚拟货币)发行、交易、炒作以及相关的一切活动,还有参与的个人用户或者机构。数字货币常见的有比特币、莱特币等,这里比特币是人们听说最多的,而且在平时很多人参与比特币的买卖。比特币在2008年由中本聪提出,总数量只有2100万个

    2024-12-19 00:30:02
    12 0
  • dao如何挖矿,boringdao是哪个国家的项目

    一、boringdao是哪个国家的项目一、项目简介BoringDAO是一个完全去中心化的资产桥,以DAO的方式运行,它将允许以太坊等任何拥有智能合约的区块链,成为比特币的Layer2解决方案,使得BTC等资产具备可编程特性。它使用“隧道机制”和三层质押来使BTC、LTC等资产,无缝安全地进入

    2024-12-12 22:30:01
    18 0
  • UNISWAP项目方怎么跑路,区块链什么是机枪池

    一、区块链什么是机枪池***机枪池跑路***开普勒机枪池是不是金融骗局不是。开普勒机枪池是一个去中心化的DeFi收益聚合器,由美国开普勒金融实验室创办,拥有官方的认证,因此不是骗局,目前拥有68位金融分析师,是区块链上的去中心化自治组织。2022年怎样整出火币网的现金??1

    2024-12-08 17:00:02
    25 0
  • 怎么创建defi项目,defi项目是什么意思

    一、DEFI是什么有哪些项目一、什么是DeFiDeFi就是去中心化金融,随着区块链的迅速发展,其应用场景也在不断地丰富,而金融业是其中最有前景的行业。目前,DeFi主要在以太坊网络生态内较为活跃,经过两三年的探索发展,衍生出了稳定币、借贷平台、衍生品、预测市场、保险、支付

    2024-12-03 08:00:01
    34 0
  • 门罗币什么算法,区块链项目中的门罗币Monero是什么

    一、mdc是什么币MDC是门罗币的简称。门罗币是一种加密货币,旨在提供匿名性、可扩展性和安全性。以下是关于门罗币的详细介绍:门罗币是一种开源加密货币,具有强大的隐私保护功能。它采用了先进的密码学技术和去中心化的网络结构,确保了交易的匿名性和安全性。与传统的加密货

    2024-11-30 22:00:01
    36 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载