兜售代币、注销推特、微信群闭幕,昨晚BSC机枪池项目MerlinLab上演一出火速“大逃亡”。
6月29日15点24分,Merlin Lab遭到黑客进犯。据区块链安全公司PeckShield分析,Merlin Lab 遭到黑客进犯源于 MerlinStrategyAlpacaBNB 中存在的逻辑缝隙,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。经过重复操作,进犯者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。
Merlin Lab在这次进犯中反映很快,只不过这个“快”出乎大多数人的意料:
16:54,项目方开端着手调查此事。
17:24,项目方得出初步定论,是经济规则缝隙被利用了。
23:27,宣告封闭项目,通知用户停止存款并及时提取资金。
30日零点26分,项目方开端兜售代币。
大多数没有想到,项目方对进犯事情的处理是关停项目。
根据项目方的说法,屡次遭受黑客进犯之后,开发人员对项现在景不乐观,并以为没有更多的经历去应对未来潜在的挑战,最初的愿景无力完成,只得无法关停项目。
现在,项目方官网依旧能够访问,资金能够正常提取。项目方文档、推特账号以及中文微信群现已闭幕。
这次事情,暴露了DeFi以下问题:1)到底是团队作恶还是正常黑客进犯?2)审计过的项目是否一定安全?3)匿名项目是否值得信赖?4)项目方认输的成本低,给投资人形成的丢失怎么办?
黑客是自己人?
PeckShield以为,这次事情有或许是团队作恶。
比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?
“与 Alpaca Finance 相关的单一资产机枪池今早刚刚上线 Merlin Labs 主网做测验,存在缝隙的合约尚未公布,也未供给给用户……实施这一进犯需要内情信息,因为合约的部署、上线、审计经手多人,因此内情人士有多个或许。”
团队作恶或许是:①中心人员自动作恶;②部分人员悄悄作恶;③部分人员与外部黑客联手,里应外合。
项目方在被进犯后连夜关停项目、清空推特、清空项目wiki、闭幕微信群、兜售代币等操作,似乎有理由让人怀疑这是团队自动作恶。
不过,这次进犯获利金额大约是30万美元,Merlin Labs 在被进犯前的TVL大约有2亿美元。如果是中心团队自动作恶,这个收益看上去没有满足的诱惑力。
项目方关停项目并没有封闭项目网站,依旧给投资人时间提取资金。这种做法似乎阐明是②或许③的或许性大一些。
也有或许完全是来自外部黑客进犯,实属偶然。
审计的项目安全吗?
大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。
不过,审计过的项目并非一定安全。5月份产生的BSC集中被黑客进犯案例,其中不少项目是经区块链安全公司审计过了的。
PeckShield告知巴比特,防护进犯不是一个静态的过程,它是个动态的过程。
简而言之,需采用“事前事中过后”三段式防护形式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类缝隙,审计并不能处理一切问题。
此外,还要留意排查与其他 DeFi 产品进行组合时的业务逻辑缝隙,防止出现跨合约的逻辑兼容性缝隙;要规划一定的风控熔断机制,引入第三方安全公司的要挟感知情报和数据态势情报服务。
在 DeFi 安全事情产生时,能够做到第一时间响应安全危险,及时排查封堵安全进犯,防止形成更多的丢失;而且应联动职业各方力量,建立一套完善的资产追寻机制,实时监控相关虚拟货币的流通情况。
在其他协议产生安全事情后,要对自己的协议进行仔细地查缺补漏,是否有相似的缝隙,是否有潜在的危险。咱们以为除了需要构建安全的预言机战略,还要透彻了解协议,在预言机这一源头上下功夫,做到从审计角度查出问题,供给可靠的链下处理计划,及时查缺补漏,才干减小因预言机传达失真数据而带来的价格操纵危险。
匿名项目是否值得信赖?
根据Debank排行榜,现在排名前十的DeFi项目,几乎都是实名的。
比如,Curve创始人Michael Egorov,和V神相同是俄罗斯人。Aave创始人兼首席执行官Stani Kulechov,曾在赫尔辛基大学攻读法令专业。Uniswap创始人 Hayden Adams结业后第一份作业就被裁人,然后世界上少了一名青年电气工程师多了一位DeFi开创者。其他的像Compound(创始人Robert Leshner)、MakerDAO(创始人Rune Christensen)、Liquity(创始人Robert Lauko)也都是实名项目。Venus项目由Swipe团队支撑(现在现已改组,Swipe退出项目决策层),Swipe是Binance投资公司。
只要PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个中心开发者在推特还算比较活泼,在国内也有专门的中文运营社区。
虽然区块链讲究去中心化、去信赖,实际情况却是,实名项目更容易赢得投资人信赖。
遗憾的是,Merlin Labs是匿名项目。
项目被随意丢弃,投资人只能认赔?
Merlin Labs在被进犯之后采纳的处理计划并未如前两次相同修补缝隙而且为投资人拟定补偿计划。相反,项目方的做法是迅速兜售代币然后宣告项目闭幕。
这种做法直接导致现已腰斩的币价走向归零。
(项目方兜售代币前,MERL价格在8美元左右,兜售后跌至0.1-0.2美元)
币价暴跌,相同导致为项目供给流动性的LP丢失惨重。
能够毫不客气地说,项目方这样做是极不负责任的,完全置投资者利益于不管。
昨晚抄底的投资者成本多在6-8美元区间,一觉醒来归零。
因为项目方是匿名的,同时项目推特注销、电报群禁言、微信群闭幕,受丢失的投资人几乎无处讨要说法。
DeFi没有监管,在“Code is law”的区块链世界投资人除了寄希望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防地被打破,投资人似乎只能自认倒霉。
视野开拓
行为异象正是阿尔法产生的地方-《投资新革命》
![[三叔]ETH独立上涨,谨防反弹转变盘](https://pic.rmb.bdstatic.com/bjh/user/2987291b90ef9ee7b1ebefcc1227d59d.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[路遥Trader]](https://pic.rmb.bdstatic.com/bjh/user/31a4de3fbc29f1c46df415cdd9133c30.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[币圈老司机]火币LiqudiRestaking攻略【限时特惠】](https://pic.rmb.bdstatic.com/bjh/user/c4647ec1333f7283d2ca4ab3e5121c14.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
