MerlinLab“跑路三连”揭示了DeFi存在的问题

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

抛售代币、注销推特、微信群解散,昨夜 BSC 机枪池项目 MerlinLab 上演一出火速“大逃亡”。

6 月 29 日 15 点 24 分,MerlinLab 遭到黑客攻击。据区块链安全公司 PeckShield 分析,MerlinLab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。

MerlinLab 在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:

16:54,项目方开始着手调查此事。

17:24,项目方得出初步结论,是经济规则漏洞被利用了。

23:27,宣布关闭项目,通知用户停止存款并及时提取资金。

30 日零点 26 分,项目方开始抛售代币。

大多数没有想到,项目方对攻击事件的处理是关停项目。

根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。

目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件,暴露了 DeFi 以下问题:

1)到底是团队作恶还是正常黑客攻击?

2)审计过的项目是否一定安全?

3)匿名项目是否值得信任?

4)项目方认输的成本低,给投资人造成的损失怎么办?

1. 黑客是自己人?

PeckShield 认为,这次事件有可能是团队作恶。

比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?

“与 AlpacaFinance 相关的单一资产机枪池今早刚刚上线 MerlinLabs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户……实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。”

团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目 wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。

不过,这次攻击获利金额大约是 30 万美元,MerlinLabs 在被攻击前的 TVL 大约有 2 亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是 ② 或者 ③ 的可能性大一些。

也有可能完全是来自外部黑客攻击,实属巧合。

2. 审计的项目安全吗?

大多数 DeFi 项目会找审计公司出具审计报告为项目的安全性背书。

不过,审计过的项目并非一定安全。5 月份发生的 BSC 集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。

PeckShield 告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。

简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。

此外,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

在其他协议发生

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/28441.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月25日
下一篇 2023年07月25日

相关推荐

  • tenx是什么,TenX是什么项目

    一、tenx什么意思tenx的意思是天尚行。以下是详细解释:一、基本词义解释tenx作为一个英文词汇,其直接翻译为“天尚行”。在日常语境中,可能是一种产品名称或者某个特定领域的术语。由于该词汇并不属于常见英文词汇,其具体的含义可能需要根据上下文或者特定领域来确定。二、

    2024-11-19 22:00:02
    9 0
  • coinbase有多少币种,coinbase投资的项目有哪些

    一、区块链cny什么意思,区块链是什么术语比特币中国btccnyltc什么意思btc是指比特币(bitcoin),ltc指的是莱特币(litecoin),cny指的是人本民币。btccnyltc的意思是比特币和莱特币的人民币交易,支持比特币、莱特币和人民币之间自由的兑换。比特币是一种“电子货币”,由计算

    2024-11-16 05:00:01
    11 0
  • 区块链为什么要开源,区块链项目开源意味着

    一、为什么中国禁止区块链中国为什么不支持去中心化区块链因为如果去中心化区块链,市场中的资金将会很难监控。金融市场的风险系数就会大幅度增加,不利于经济的稳定。什么是ICO,国家为什么要禁止问题一:ICO是一种区块链行业术语,是一种为加密数字货币/区块链项目筹措资金

    2024-11-15 04:00:01
    16 0
  • 联盟链有哪些,什么是联盟链联盟链项目有哪些

    一、公有链联盟链的基本特征主要有公有链联盟链的基本特征主要有部分去中心化;可控性较强;数据不会默认公开;交易速度很快。公有链是完全去中心化的一种区块链,比特币就属于这种公有链,是完全去中心化的。任何人既可以进行交易也可以读取信息。任何人都可以参与链上的交易

    2024-11-11 15:30:01
    15 0
  • 以太坊有哪些项目,生态那些项目最值得关注

    一、区块链上链项目有哪些国内现在有哪些确实影响社会和生活并已经落地的区块链项目值得一提??说起区块链,可以确切的讲目前并没有一个千万级的落地项目产生,但正因如此,区块链的想象空间就非常大了。目前来讲,各国各大公司都有在布局区块链技术,不过大都是小范围的应用

    2024-11-10 01:00:02
    15 0
  • 如何查看以太坊上的项目,以太坊作为公链项目在中国合法吗受法律保护吗

    一、如何购买以太坊,以太坊国内如何购买目前,国内用户购买以太坊的渠道有很多,下面简单介绍常用的几种:一、场外可盈可乐平台(CoinCola)1、关于可盈可乐可盈可乐是个人与个人之间交易比特币的场外交易平台。可盈可乐隶属于香港CoinCola Limited,由专业的国际化团队研发与

    2024-11-08 23:30:02
    15 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载