Análisis del evento desbocado de Meerkat Finance: menos de 1 día después de su lanzamiento, se llevaron 30 millones de dólares estadounidenses.

El 4 de marzo de 2021, hora de Beijing, según el seguimiento de la opinión pública de [Beosin-OSINT], se sospechaba que el proyecto ecológico DeFi de BSC Meerkat Finance había huido, alegando que el contrato de tesorería fue pirateado, los piratas informáticos utilizaron la laguna para robar todos los fondos en la bóveda. El sitio web del proyecto no está disponible actualmente.

El equipo de seguridad de Chengdu Beosin (Beosin) lanzó una respuesta de seguridad al incidente lo antes posible, apuntando a la dirección de ataque del usuario.

(0x9542966f1114eaa5859201aa8d34358bfedbfa79)

para realizar un seguimiento. Después de rastrear la dirección del atacante, descubrimos que el atacante transfirió una gran cantidad de fondos a la vez, como se muestra en la Figura 1. Aunque el funcionario afirmó haber encontrado un ataque de piratas informáticos, según los resultados de nuestro análisis, básicamente se puede concluir que el proyecto Meerkat Finance se ha escapado.

Umee, con sede en Cosmos, lanza el primer oráculo de precios de IBC: Jinse Finance informó que Umee, una plataforma de préstamos y préstamos basada en Cosmos, anunció el jueves que lanzará el primer precio del protocolo de comunicación entre cadenas de bloques (IBC) de Cosmos en unas pocas semanas. servicio de oráculo. El oráculo de precios, llamado Orion, estará impulsado por validadores en la cadena de bloques de Umee, que ejecutan un software que extraerá automáticamente los datos de precios de un conjunto de intercambios centralizados, además de Osmosis dex. [2022/7/7 1:58:12]

FAMEEX lanza la nueva moneda TT (Thunder Token): Según noticias oficiales, FAMEEX lanzará la nueva moneda TT (Thunder Token) el 27 de agosto de 2020, la plataforma abrirá recarga TT a las 16:00 el 27 de agosto de 2020, y El servicio de retiro de efectivo a las 18:00 está abierto; al mismo tiempo, las transacciones de pares de divisas TT/USDT y TT/BTC se abrirán a las 18:00 el 27 de agosto.

FAMEEX es una plataforma de comercio de activos digitales segura y líquida que proporciona transacciones estratégicas, con el objetivo de maximizar la experiencia operativa del usuario final y la seguridad de la propiedad. Los inversores pueden realizar transacciones de estrategia de divisas y redes en FAMEEX para obtener rendimientos superiores. [2020/8/27]

Figura 1

Anuncio | Huobi Global abre el nuevo servicio de depósito de monedas MEETONE: según el anuncio de Huobi, MEETONE ha completado el intercambio de divisas de la cadena principal, y Huobi Global abrirá el nuevo depósito de monedas MEETONE a las 14:30 el 3 de junio de 2019 negocio de divisas, y abrió el servicio de retiro de nueva moneda MEETONE a las 14:30 el 5 de junio. Debido a los estrictos procedimientos de cotización de Huobi Global, el negocio comercial de MEETONE no está abierto actualmente. [2019/6/3]

Figura 2

Inmediatamente después, comenzamos a analizar las dos transacciones de transferencia de los fondos robados y descubrimos que el atacante transfirió directamente todos los fondos en el contrato de la bóveda llamando a una función del contrato de la bóveda; y el contrato de la bóveda usó un contrato proxy actualizable, que Es decir, la lógica real se puede cambiar y su autoridad recae en el lado del proyecto.

Voz | Tuur Demeester: el ataque del 51 % parece ser solo cuestión de tiempo: el economista de moneda digital Tuur Demeester tuiteó que la capitalización de mercado de BCH actualmente es solo el 3,4 % de Bitcoin, y un ataque del 51 % parece ser solo cuestión de tiempo a menos que vuelvan a usar una bifurcación dura para cambiar el algoritmo PoW. [2018/12/6]

Figura 3

Figura 4

Según los registros, se puede concluir que en el robo de la tesorería de WBNB por parte de la parte del proyecto, la lógica real del contrato de representación sigue siendo un contrato de tesorería normal, y la lógica del contrato se reemplaza con un contrato con una puerta trasera durante el ataque. . Sin embargo, en la transacción de robar BUSD, la parte del proyecto simplemente arrancó su propia "hoja de parra", implementando un contrato con una puerta trasera desde el principio. Como se muestra en la Figura 5:

Figura 5

El equipo de seguridad de Chengdu Beosin descubrió que los contratos de puerta trasera utilizados en los dos ataques eran el mismo conjunto de códigos. Cuando descompilamos uno de los contratos, descubrimos que era una función para transferir tokens. Como se muestra en la Figura 6:

Figura 6

Al final, llegamos a la conclusión de que este incidente fue obviamente un incidente de phishing premeditado por la parte del proyecto, y se estaba escapando desde el principio; y en este incidente, el culpable en la capa de código fue el "contrato de proxy actualizable". A la parte del proyecto se le otorga demasiada autoridad, lo que hace que la parte del proyecto robe los fondos de los usuarios, como sacar algo de un bolsillo.

El equipo de seguridad de Chengdu Beosin (Beosin) cree que para los "contratos de proxy actualizables", desde la perspectiva de la auditoría, para garantizar la capacidad de mantenimiento y la posibilidad de iteración del proyecto, no es recomendable conservar dichos permisos. Incluso en el trabajo diario de auditoría de seguridad, no podemos pedirle a la parte del proyecto que cancele dichos permisos. Pero el poder es un arma de doble filo, buena o mala según quien la empuñe. En el informe de auditoría de seguridad emitido por Chengdu Lianan, siempre hemos explicado dichos permisos. Al mismo tiempo, es necesario recordar a los usuarios que lean atentamente las descripciones detalladas en el informe de auditoría de seguridad al elegir proyectos de inversión, especialmente las advertencias de riesgo potencial y las recomendaciones de seguridad que brindamos.

Finalmente, cabe señalar que hemos detectado que los atacantes están utilizando la función transferFrom para robar fondos autorizados al contrato de bóveda en las billeteras de los usuarios.Hasta el momento, se han robado 160,000 BUSD de fondos en las billeteras de los usuarios.

Aquí, el equipo de seguridad de Chengdu Beosin recuerda específicamente a todos los usuarios que han participado en este proyecto que cancelen inmediatamente la autorización de la dirección del proyecto o transfieran inmediatamente los fondos en la billetera para evitar pérdidas secundarias.

La dirección de inspección de autorización de BSC es la siguiente:

https://bscscan.com/tokenapprovalchecker

Tags：

Huobi App Download