Merlin Labs 遭攻击 会是一起内部作案吗?

6 月 28 日,收益聚合器 Merlin Lab 遭到黑客攻击。

PeckShield「派盾」安全人员定位发现,收益聚合器 Merlin Lab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。

MERL 短时腰斩,从 $16.23 跌至 $6.09。

Curve:DEX聚合器OpenOcean的大额ETH兑换交易优于1inch:8月15日消息,Curve Finance发推称,有时候通过DEX聚合器OpenOcean进行大额ETH兑换交易,相比在1inch Network通过Synthetix进行的原子互换(Atomic Swaps)交易结果更好,可以兑换到更多USDT。[2022/8/15 12:25:55]

但 Merlin Labs 官网上显示的 MERL 波动不大。

这是一场协议与攻击者之间的博弈。与 Alpaca Finance 相关的单一资产机池今早刚刚上线 Merlin Labs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户。当前存在漏洞的合约上显示的唯一账户是攻击者的 EOA,这会是一起明目张胆的内部作案吗?

如果合约还没有准备好,那为什么要急着部署在自己的主网上呢?

PeckShield「派盾」简述攻击过程:

攻击者先将 0.1 WBNB 放入机池;

紧接着攻击者又向合约中转入 546.71 BNB,使得合约认为收到 546.71 BNB;

当 strategy 计算收益时,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 $MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。

上述时间线表明,实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。

这不是第一起存在内部作案疑云的安全事件。匿名的黑客时代还将持续多久?

由于潜在的攻击者有迹可循,因此更容易排除和追踪潜在的名单,在这种情况下,可搜索的范围甚至比平常更小。

DeFi 还在持续发展中,近几个月我们看到增长率在变缓,开发人员陷入了更激烈竞争,而腐败的内部人员则帮助攻击者在台面下获益。

匿名斗篷的魔法还能维持多长时间?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

比特币价格拆除白马门的启示:从开放金融到开放艺术

历史剧《三国》中呈现了这样一个故事:东汉末期,已经越制称魏王的曹操,距离帝位,仅一步之遥。有一次曹操的儿子曹植,有急事要进皇宫,如果从白马门(一说:司马门)走的话,可以节约一个时辰的路程。按照汉朝的规制,白马门只有天子的车架才能通过,曹植因其父势大,不以为然,打算从白马门通过。曹植到白马门口,却被忠于汉室的旧臣荀彧拦了下来。

波场Kusama “Parachain” 分析报告 (四)

风物长宜放眼量。 生也有涯而知无涯,但学习永不止步。BML秉着“快学习,慢赚钱”的态度,带领社群朋友们一起学习项目,逐渐形成对生态框架认知。

MANA7城市乘坐地铁可用数字人民币支付

《中国银行保险报》讯:据不完全统计,目前已有7个试点城市在轨道交通场景落地了数字人民币支付。 6月30日,从北京交通委获悉,自即日起,北京轨道交通开启全路网数字人民币支付渠道刷闸乘车体验测试。

ETH项目周刊 | BTC挖矿难度预计将下调超过21%

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是项目周刊,带您一览本周主流项目以及明星项目的进展。 周BTC挖矿难度预计下调21.04% 数据显示,目前比特币未确认交易量为19463笔。全网算力为99.81EH/s,24小时交易速度2.00 txs/s。

[0:0ms0-16:394ms