Merlin Labs 遭攻击 会是一起内部作案吗？

6 月 28 日，收益聚合器 Merlin Lab 遭到黑客进犯。

PeckShield「派盾」安全人员定位发现，收益聚合器 Merlin Lab 遭到黑客进犯源于 MerlinStrategyAlpacaBNB 中存在的逻辑缝隙，合约误将收益者转账的 BNB 作为挖矿收益，使得合约增发更多的 MERL 作为奖励。

MERL 短时腰斩，从 $16.23 跌至 $6.09。

但 Merlin Labs 官网上显现的 MERL 动摇不大。

这是一场协议与进犯者之间的博弈。与 Alpaca Finance 相关的单一资产机枪池今早刚刚上线 Merlin Labs 主网做测验，存在缝隙的合约尚未发布，也未提供给用户。当前存在缝隙的合约上显现的仅有账户是进犯者的 EOA，这会是一同明火执仗的内部作案吗？

假如合约还没有准备好，那为什么要急着布置在自己的主网上呢？

PeckShield「派盾」简述进犯过程：

进犯者先将 0.1 WBNB 放入机枪池；

紧接着进犯者又向合约中转入 546.71 BNB，使得合约以为收到 546.71 BNB；

当 strategy 计算收益时，合约误将收益者转账的 BNB 作为挖矿收益，使得合约增发更多的 $MERL 作为奖励。经过重复操作，进犯者获利 30 万美元。

上述时间线表明，施行这一进犯需求内幕信息，因为合约的布置、上线、审计经手多人，因而内幕人士有多个可能。

这不是榜首同存在内部作案疑云的安全事情。匿名的黑客时代还将继续多久？

因为潜在的进犯者有迹可循，因而更容易扫除和追踪潜在的名单，在这种情况下，可查找的规模甚至比平常更小。

DeFi 还在继续发展中，近几个月我们看到增长率在变缓，开发人员陷入了更激烈竞赛，而糜烂的内部人员则协助进犯者在台面下获益。

匿名斗篷的魔法还能保持多长时间？

视野开拓

聪明人不一定有好奇心，但是有好奇心、懂得去观察发现并能总结出科学理论的人却一定是聪明的人。-《解读中国经济》

币圈活动网永久会员

收藏 链接