MerlinLab“跑路三连”揭示了DeFi存在的问题

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

抛售代币、注销推特、微信群解散,昨夜 BSC 机枪池项目 MerlinLab 上演一出火速“大逃亡”。

6 月 29 日 15 点 24 分,MerlinLab 遭到黑客攻击。据区块链安全公司 PeckShield 分析,MerlinLab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。

MerlinLab 在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:

16:54,项目方开始着手调查此事。

17:24,项目方得出初步结论,是经济规则漏洞被利用了。

23:27,宣布关闭项目,通知用户停止存款并及时提取资金。

30 日零点 26 分,项目方开始抛售代币。

大多数没有想到,项目方对攻击事件的处理是关停项目。

根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。

目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件,暴露了 DeFi 以下问题:

1)到底是团队作恶还是正常黑客攻击?

2)审计过的项目是否一定安全?

3)匿名项目是否值得信任?

4)项目方认输的成本低,给投资人造成的损失怎么办?

1. 黑客是自己人?

PeckShield 认为,这次事件有可能是团队作恶。

比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?

“与 AlpacaFinance 相关的单一资产机枪池今早刚刚上线 MerlinLabs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户……实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。”

团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目 wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。

不过,这次攻击获利金额大约是 30 万美元,MerlinLabs 在被攻击前的 TVL 大约有 2 亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是 ② 或者 ③ 的可能性大一些。

也有可能完全是来自外部黑客攻击,实属巧合。

2. 审计的项目安全吗?

大多数 DeFi 项目会找审计公司出具审计报告为项目的安全性背书。

不过,审计过的项目并非一定安全。5 月份发生的 BSC 集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。

PeckShield 告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。

简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。

此外,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

在其他协议发生

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/28441.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月25日
下一篇 2023年07月25日

相关推荐

  • 掘金之城是什么项目,深圳欢乐谷有哪些项目深圳欢乐谷项目汇总

    一、深圳欢乐谷有哪些项目深圳欢乐谷项目汇总深圳欢乐谷是华侨城集团新一代大型主题乐园,首批国家AAAAA级旅游景区。深圳欢乐谷全园共分九大主题区:西班牙广场、魔幻城堡、冒险山、欢乐时光、金矿镇、香格里拉雪域、飓风湾、阳光海岸,以及独具特色的玛雅水公园,有100多个老

    2024-11-05 21:30:01
    2 0
  • 货币项目有哪些,货币性项目有哪些

    一、属于货币性项目的有哪些现金、银行定期存款、货币资金等。1、货币性项目:分为货币性资产,货币性负债。2、货币性资产:是持有的货币和将以固定或可确定金额的货币收取的资产,包括现金、银行存款、短期国库券等。3、货币性负债:是将在未来以固定或可确定金额的货币偿还

    2024-11-04 05:30:01
    7 0
  • 若何成为WorldCoin代币的空投对象 代币空投技巧套路

    本文目次导读:若何成为WorldCoin代币的空投对象及代币空投技巧套路成为空投对象代币空投技巧套路若何成为WorldCoin代币的空投对象及代币空投技巧套路成为空投对象,想要成为WorldCoin代币的空投对象,起首需要领会什么是代币空投

    2024-05-20 13:00:07
    259 0
  • WNCG是什么币种 wlcc是什么币

    详细介绍WNCG和WLCC的特点和用处WNCG是什么币种?本文目次导读:WNCG和WLCC是什么币种?详细介绍WNCG和WLCC的特点和用处WNCG是什么币种?WNCG的特点WNCG的用处WLCC是什么币种?WLCC的特点WLCC的用处WN

    2024-05-20 11:30:21
    378 0
  • 什么是加密货币白皮书 加密货币的白皮书

    本文目次导读:什么是加密货币白皮书及加密货币的白皮书加密货币白皮书的感化加密货币的白皮书内容什么是加密货币白皮书及加密货币的白皮书,加密货币白皮书是指一种详细介绍加密货币项目标文档,凡是由项目团队或者开发者编写,白皮书包罗了项目标目的、手艺

    2024-05-20 11:00:13
    242 0
  • 币圈牛市前期:有哪些潜力币能够提早潜伏的

    本文目次导读:币圈牛市前期:哪些潜力币能够提早潜伏概述区块链手艺DeFi项目NFT项目社区撑持团队布景币圈牛市前期:哪些潜力币能够提早潜伏概述在币圈中,牛市是投资者最等待的期间,因为在牛市中,数字货币的价格会呈现快速上涨的情况,为投资者带来

    2024-05-20 04:30:18
    254 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载