抛售代币、注销推特、微信群解散,昨夜BSC机池项目MerlinLab上演一出火速“大逃亡”。
6月29日15点24分,MerlinLab遭到黑客攻击。据区块链安全公司PeckShield分析,MerlinLab遭到黑客攻击源于MerlinStrategyAlpacaBNB中存在的逻辑漏洞,合约误将收益者转账的BNB作为挖矿收益,使得合约增发更多的MERL作为奖励。经过重复操作,攻击者获利30万美元。MERL短时腰斩,从$16.23跌至$6.09。
MerlinLab在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:
16:54,项目方开始着手调查此事。
17:24,项目方得出初步结论,是经济规则漏洞被利用了。
23:27,宣布关闭项目,通知用户停止存款并及时提取资金。
30日零点26分,项目方开始抛售代币。
万卉:黑客会把NXM换成wNXM,wNXM持有者只能眼睁睁看着被砸盘:针对今晚Nexus Mutual创始人被黑客盗走800多万美元NXM事件,Primitive Ventures创始合伙人万卉发布微博表示,黑客会将NXM换成wNXM,wNXM持有者只能眼睁睁看着被砸盘,以下为微博原文:
NXM被黑的填坑部分我单独发一下:再次感叹整个Defi食物链的顶端,真的是黑客/科学家们。。。 黑掉Nexus Mutual的黑客不仅拿到了Huge Karp的电脑的远程控制(呃,Karp可能用的是Windows? MacOS上会被恶意远程控制的漏洞很少) ,为了收割Karp手上NXM还去做了Nexus Mutual的KYC (已经精心准备了很久,可见有KYC也没啥用) 黑的过程其实比较常见,就是trick Karp去签了一个看似正常的交易,但是实际的交易是把币发给了自己。
因为Karp手上肯定没有大量的wNXM而是有大量的NXM,所以必须要在内盘内完成“钓鱼”的工作。然后钓鱼完成后,NXM本身的价格只要跌到了MCR100%的时候,黑客必然知道无法靠Bonding curve出货,所以非常老练的直接把拿到的NXM wrap掉,去外部砸盘。
现在NXMwNXM是个单向的流通:wNXM的持有者无法拿着wNXM去赎回NXM,原来在MCR>100%以上的时候,只要wNXM价格低于NXM本身,外盘的wNXM持有者可以赎回NXM回到内盘在Bonding Curve上卖掉。但是现在MCR=100%的时候,相当于这个口子卡死了,虽然NXM可以卡在MCR=100%的这个价格上,但是wNXM无法赎回。所以现在wNXM的持有人只有躺着被黑客砸盘,没有任何办法... 心疼拿着wNXM的老铁,还有给wNXM在AMM上做市的LP。[2020/12/15 15:11:28]
大多数没有想到,项目方对攻击事件的处理是关停项目。
主力数据复盘:币安现货主力3142.71枚BTC砸盘引发瀑布:AICoin PRO版K线主力成交数据显示:通过秒级周期数据对比,昨晚的剧烈下跌或由币安现货主力砸盘引起。 22:46:21,币安BTC/USDT以10055.01美元市价卖出709.82枚BTC,最终被买价格10000美元,卖出滑点95.01美元,价格直接跌至9905美元。
3秒后,继续以9969美元市价卖出361.96枚BTC,最终被买价格9905.99,卖出滑点73.44美元,价格跌至9871美元。 随后继续有大额市价卖单成交,3分钟内累计主动卖出41笔,共计3142.71枚BTC。
可见,币安现货主力的大量市价卖出或引起了此轮瀑布。[2020/6/3]
根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。
目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。
主力成交复盘:火币上的主力先砸盘,币安现货主力成交活跃:AICoin PRO版K线主力成交数据显示:13:00,火币BTC现货出现了一笔价格为7122.12美元,数量为253.66BTC的大单卖出;随后,币安BTC现货相继出现13笔,总额超过1132BTC的大额卖出,主力成交活跃。 可见,这轮下跌中,火币上的主力最先砸盘。另外,因主力成交活跃我们需要密切关注币安BTC现货的主力成交情况。[2020/4/10]
这次事件,暴露了DeFi以下问题:
1)到底是团队作恶还是正常黑客攻击?
2)审计过的项目是否一定安全?
3)匿名项目是否值得信任?
4)项目方认输的成本低,给投资人造成的损失怎么办?
黑客是自己人?
PeckShield认为,这次事件有可能是团队作恶。
比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?
动态 | ThunderCore合伙人Elaine 离开团队,投资者质疑团队隐瞒消息砸盘:8月5日上午,ThunderCore英文社群电报群和中文微信群管理员发布消息称ThunderCore联合创始人、技术核心 ElaineShi 博士在结束了2年的合约后,不再继续签约。有投资者在社群内表示项目团队早已知道这一事情并且进行了隐瞒,并认为项目方「偷偷砸盘」。(区块律动)[2019/8/5]
“与AlpacaFinance相关的单一资产机池今早刚刚上线MerlinLabs主网做测试,存在漏洞的合约尚未公布,也未提供给用户……实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。”
团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。
项目方在被攻击后连夜关停项目、清空推特、清空项目wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。
现场 | Coinscious联合创始人 Tom Bao:数字资产投资领域存在恶意砸盘等问题 ?:金色财经现场报道,2018年8月11日,在2018纷智金融科技峰会(香港)上,Coinscious联合创始人及首席执行官Tom Bao指出:目前数字资产投资领域存在诸如:恶意砸盘、暴力拉盘;小道消息漫天、缺乏真正有用信息;安全事件频发;多交易所账户、多钱包管理困难;缺乏大数据和分析帮手;欠缺专业理财工具等问题。全球目前有300+数字货币投资基金,2017年,全球已经诞生了100+数字货币基金,同一时间内,共有约700家对冲基金诞生;2018年,将有近100+对冲基金成立,数字货币基金总资产体量今年或可翻倍,传统对冲基金也在资产中提高数字货币比重。[2018/8/11]
不过,这次攻击获利金额大约是30万美元,MerlinLabs在被攻击前的TVL大约有2亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。
项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是②或者③的可能性大一些。
也有可能完全是来自外部黑客攻击,实属巧合。
审计的项目安全吗?
大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。
不过,审计过的项目并非一定安全。5月份发生的BSC集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。
PeckShield告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。
简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。
此外,还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。
在DeFi安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。
在其他协议发生安全事件后,要对自己的协议进行仔细地查缺补漏,是否有相似的漏洞,是否有潜在的风险。我们认为除了需要构建安全的预言机策略,还要透彻理解协议,在预言机这一源头上下功夫,做到从审计角度查出问题,提供可靠的链下解决方案,及时查缺补漏,才能减小因预言机传达失真数据而带来的价格操纵风险。
匿名项目是否值得信任?
根据Debank排行榜,目前排名前十的DeFi项目,几乎都是实名的。
比如,Curve创始人MichaelEgorov,和V神一样是俄罗斯人。Aave创始人兼首席执行官StaniKulechov,曾在赫尔辛基大学攻读法律专业。Uniswap创始人HaydenAdams毕业后第一份工作就被裁员,然后世界上少了一名青年电气工程师多了一位DeFi开创者。
其他的像Compound、MakerDAO、Liquity也都是实名项目。Venus项目由Swipe团队支持,Swipe是Binance投资公司。
只有PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个核心开发者在推特还算比较活跃,在国内也有专门的中文运营社区。
虽然区块链讲究去中心化、去信任,实际情况却是,实名项目更容易赢得投资人信任。
遗憾的是,MerlinLabs是匿名项目。
项目被随意丢弃,投资人只能认赔?
MerlinLabs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反,项目方的做法是迅速抛售代币然后宣布项目解散。
这种做法直接导致已经腰斩的币价走向归零。
币价暴跌,同样导致为项目提供流动性的LP损失惨重。
可以毫不客气地说,项目方这样做是极不负责任的,完全置投资者利益于不顾。
昨晚抄底的投资者成本多在6-8美元区间,一觉醒来归零。
由于项目方是匿名的,同时项目推特注销、电报群禁言、微信群解散,受损失的投资人几乎无处讨要说法。
DeFi没有监管,在“Codeislaw”的区块链世界投资人除了寄希望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防线被突破,投资人似乎只能自认倒霉。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。