Merlin Labs 遭攻击 会是一起内部作案吗?

6 月 28 日,收益聚合器 Merlin Lab 遭到黑客攻击。

PeckShield「派盾」安全人员定位发现,收益聚合器 Merlin Lab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。

MERL 短时腰斩,从 $16.23 跌至 $6.09。

数据:Alameda向FTX转入约1.14亿枚BUSD和1700万枚USDC:金色财经报道,PeckShield监测显示,Alameda FTX Deposit钱包地址(0x83a127952d266A6eA306c40Ac62A4a70668FE3BD)向FTX转入约1.14亿枚BUSD和1700万枚USDC。[2022/7/11 2:05:10]

人道主义组织CARE将在拉丁美洲项目中使用Celo区块链:人道主义组织CARE宣布与去中心化金融平台Celo(CELO)达成合作,以开发其在拉丁美洲第一个利用区块链技术的项目。CARE称其的目标是利用Celo区块链实现更快、更便宜、更加可追踪的救助交付方式。CARE指出,在传播资金方面没有中间人将使更多的资金用于其任务。(Finbold)[2021/8/12 1:51:35]

但 Merlin Labs 官网上显示的 MERL 波动不大。

这是一场协议与攻击者之间的博弈。与 Alpaca Finance 相关的单一资产机池今早刚刚上线 Merlin Labs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户。当前存在漏洞的合约上显示的唯一账户是攻击者的 EOA,这会是一起明目张胆的内部作案吗?

如果合约还没有准备好,那为什么要急着部署在自己的主网上呢?

PeckShield「派盾」简述攻击过程:

攻击者先将 0.1 WBNB 放入机池;

紧接着攻击者又向合约中转入 546.71 BNB,使得合约认为收到 546.71 BNB;

当 strategy 计算收益时,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 $MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。

上述时间线表明,实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。

这不是第一起存在内部作案疑云的安全事件。匿名的黑客时代还将持续多久?

由于潜在的攻击者有迹可循,因此更容易排除和追踪潜在的名单,在这种情况下,可搜索的范围甚至比平常更小。

DeFi 还在持续发展中,近几个月我们看到增长率在变缓,开发人员陷入了更激烈竞争,而腐败的内部人员则帮助攻击者在台面下获益。

匿名斗篷的魔法还能维持多长时间?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

AAVE区块链犯罪的新宠:NFT

2021年5月20日晚10点45分,Huobi Prime 第七期项目APENFT(NFT)正式上线交易,两轮限价交易后,根据Huobi Global数据显示全球共计2.6万余人参与撮合交易,用户参与热情高涨。 其中,首轮参与人数12984人,中签人数为1448人;实际共下单41710签,1500签被抽中,中签概率为3.59%。

币安app官网下载L2上DEX的交易体验可以媲美CEX吗?

在Cointelegraph 6月22日发布的文章中,使用了这样“危言耸听”的标题:《自动做市商AMM已死》(Automated Market Makers are Dead)。 这篇文章阐述了核心的3个观点: 1.AMM模式最大的受益者不是LP而是套利者。 2.因为LP转向了新的侧链、2层上运行的AMMs,使得流动性更加分散。

[0:15ms0-7:582ms