一、事情概览
北京时间2021年3月4日,依据【链必安-区块链安全态势感知渠道(Beosin-OSINT)】舆情监测,BSC生态DeFi项目Meerkat Finance疑似跑路,其自称金库合约遭受到黑客进犯,黑客利用缝隙盗取了金库中的悉数资金。目前该项目网站现已无法翻开。
原文链接如下:
https://www.bishijie.com/kuaixun/909558.html
成都链安(Beosin)安全团队第一时间针对该事情启动安全响应,针对用户进犯地址:
(0x9542966f1114eaa5859201aa8d34358bfedbfa79)进行跟踪。经过跟踪进犯者地址,咱们发现,进犯者别离地一次性地将大量资金进行转出,如图1所示。虽然官方自称是遭受了黑客进犯,但依据咱们的剖析结果,基本能够判定Meerkat Finance项目方现已跑路。
△图1
△图2
二、事情剖析
紧接着,咱们开端针对搬运盗窃资金的两笔交易进行剖析,发现进犯者直接经过调用金库合约的一个函数,将金库合约中的资金悉数转走;而金库合约运用的是可晋级的署理合约,也便是实践逻辑是可以进行更改的,其权限在项目方。
△图3
△图4
依据记载还可得出,项目方在WBNB金库盗窃中,署理合约的实践逻辑还是正常的金库合约,在进犯时才将合约逻辑替换成存在后门的合约。但是在盗取BUSD的交易中,项目方索性扯下了自己的“遮羞布”,一开端就布置的是存在后门的合约。如图5所示:
△图5
成都链安(Beosin)安全团队发现两次进犯所用的后门合约都是同一套代码,咱们在对其间一个合约进行反编译时剖析发现,其便是一个将代币进行搬运的函数。如图6所示:
△图6
最终,咱们得出结论,本次事情显然是项目方预谋的钓鱼事情,从一开端便是奔着跑路去的;而在本次事情中,代码层的罪魁祸首便是“可晋级的署理合约”给予了项目方过大的权限,导致项目方盗取用户资金,好像轻而易举。
三、安全建议
成都链安(Beosin)安全团队以为,关于“可晋级的署理合约”,在审计角度来看,为了确保项意图可维护性和迭代或许,保留这类权限并不是不可取的。
即使在日常的安全审计工作中,咱们也不能要求项目方撤销这类权限。但权力是一把双刃剑,是好是坏则取决于运用它的人。在成都链安出具的安全审计报告中,咱们一直以来都有对此类权限加以说明。同时,在这里有必要提示广大用户选择投资项目时,一定要详细阅览安全审计报告中的细节描绘,特别是咱们给出的潜在风险提示及安全建议。
最终,需求引起注意到是,咱们监测到进犯者在运用transferFrom函数盗取用户钱包内已授权给金库合约的资金,目前已有用户钱包内的资金被盗16万BUSD。
在此,成都链安(Beosin)安全团队特别提示各位已参与此项意图用户,当即撤销对该项目地址的授权,或当即搬运钱包内的资金,避免形成二次损失。
BSC授权查看地址如下:
https://bscscan.com/tokenapprovalchecker
视野开拓
1609年(万历三十七年),世界上第一个证券交易所在阿姆斯特丹诞生。 而同期的中国,却是另一番因缘际会,中央集权与王权的趋势正在走向巅峰。“普天之下,莫非王土;率土之滨,莫非王臣”——没有产权,更无从谈及产权保护,-《金钱永不眠》
