出售令牌、取消推特注册、微信集团解散,昨晚BSC机枪池项目MerlinLab上演了火上浇油的“大跑路”。
6月29日15点24分,Merlin Lab被黑客入侵。 区块链安全公司PeckShield表示,MERLin Lab之所以被黑客入侵,是因为MerlinStrategyAlpacaBNB中存在逻辑漏洞,将合同错误地从收益方转账的BNB作为开采收益,合同被盗经过反复操作,攻击者获得了30万美元的利润。 MERL暂时腰斩,从$16.23降至$6.09。
Merlin Lab在这次攻击中反应迅速,但这种“速度”出乎很多人的意料:
16:54,项目方着手调查此事。
17:24、项目方初步得出结论,经济规律漏洞得到利用。
23:27、宣布项目关闭,通知用户停止存款,及时提取资金。
30日零时26分,项目方开始卖代币。
很多时候,我不认为项目方对攻击事件的处理是封闭项目。
项目方面表示,在多次黑客入侵后,开发商对项目前景并不乐观,认为没有应对未来潜在挑战的经验,最初的愿景无法实现,不得不中止项目。
目前,项目方官网仍可访问,资金可正常提取。 项目端文档、推特账号、中文微信群已解散。
这次事件揭示了DeFi的问题:1)团队是做坏事,还是普通黑客? 2 )经过审计的项目一定安全吗? 3 )匿名项目可信吗? 4 )项目方认输成本低,给投资者带来的损失怎么办?
1 黑客是自己人?PeckShield认为,这次事件有可能是团队的坏事。
比如,合同还没准备好,为什么要赶紧放到自己的主网上呢?
“与Alpaca Finance相关的单资产机枪池今天早上刚刚连接到Merlin Labs的主网进行测试,漏洞合同尚未公布,也未提供给用户……实施这一攻击需要内幕信息,而且”
团队做坏事可能是核心成员主动做坏事部分人员偷偷做坏事部分人员要与外部黑客合作,内部配合。
项目方受到攻击后,通宵停止项目、清空推特、清空项目维客、解散微信群、出售令牌等操作,团队并不是在自己做坏事
但是,这次攻击的利润额约为30万美元,Merlin Labs在被攻击前的TVL中约为2亿美元。 如果核心团队积极作恶的话,这个收益看起来没有足够的吸引力。
项目方停止项目不会关闭项目网站,而是给投资者时间提取资金。 这种做法似乎表明或的可能性很高。
可能完全是外部黑客,只是偶然的一致。
2 审计的项目安全吗?大多数DeFi项目应向审计公司出具审计报告作为项目安全性的背书。
但是,经过审计的项目不一定安全。 5月发生的BSC被集中黑客入侵的案例,其中很多案例都是由区块链安全公司审计的。
PeckShield告诉巴比特,防御攻击不是静态过程,而是动态过程。
简而言之,必须采用“事前事后”三段式防御模式,并在新合同上线之前进行全面、专业的智能合约安全审核。 这一步主要是帮助诊断已知的各种漏洞,而审计并不能解决所有问题。
另外,还要注意排除与其他DeFi产品结合时的业务逻辑漏洞,避免合同间逻辑兼容性漏洞,设计一定的风控熔断机制,引入第三方安全公司的威胁感知信息和数据态势信息服务。
DeFi安全事件发生时,可以第一时间应对安全风险,及时排查安全攻击,避免更多损失,并结合行业各方力量,建立完善的资产跟踪机制,实现相关
其他协议发生安全事件后,必须仔细检查自己的协议是否存在陷阱、是否存在类似漏洞或是否存在潜在风险。 我们不仅要构建安全的预言机战略,还要彻底理解协议,在预言机这个源头上下功夫,从审计的角度检测问题,提供可靠的连锁解决方案,及时调查缺失陷阱,降低预言机传递失真数据带来的价格操作风险
根据3http://www.Sina.com/Debank排名,目前排名前十的DeFi项目几乎都是实名的。
例如,Curve的创始人pldzs Egorov和v神一样是俄罗斯人。 Ave创始人兼首席执行官Stani Kulechov曾在赫尔辛基大学主修法律专业。 Uniswap创始人Hayden Adams毕业后,第一份工作被裁员,世界上减少了一名青年电气工程师,DeFi创始人增加了一名。
其他还有Compound (创始人Robert Leshner )、MakerDAO (创始人Rune Christensen )、Liquity (创始人Robert Lauko )也是实名项目。 Venus项目由Swipe团队负责
支持(目前已经改组,Swipe退出项目决策层),Swipe是Binance投资公司。只有PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个核心开发者在推特还算比较活跃,在国内也有专门的中文运营社区。
虽然区块链讲究去中心化、去信任,实际情况却是,实名项目更容易赢得投资人信任。
遗憾的是,Merlin Labs是匿名项目。
4 项目被随意丢弃,投资人只能认赔?Merlin Labs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反,项目方的做法是迅速抛售代币然后宣布项目解散。
这种做法直接导致已经腰斩的币价走向归零。
(项目方抛售代币前,MERL价格在8美元左右,抛售后跌至0.1-0.2美元)
币价暴跌,同样导致为项目提供流动性的LP损失惨重。
可以毫不客气地说,项目方这样做是极不负责任的,完全置投资者利益于不顾。
昨晚抄底的投资者成本多在6-8美元区间,一觉醒来归零。
由于项目方是匿名的,同时项目推特注销、电报群禁言、微信群解散,受损失的投资人几乎无处讨要说法。
DeFi没有监管,在“Code is law”的区块链世界投资人除了寄希望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防线被突破,投资人似乎只能自认倒霉。