區塊鏈:上線不到1天就攜款跑路，3000萬美金被卷走：Meerkat Finance跑路事件分析_區塊鏈域名選什么后綴好

安全態勢感知平臺]輿情監測，BSC生態DeFi項目Meerkat?Finance疑似跑路，其自稱金庫合約遭遇到黑客攻擊，黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。

原文鏈接如下：

https://www.bishijie.com/kuaixun/909558.html

成都鏈安安全團隊第一時間針對該事件啟動安全響應，針對用戶攻擊地址：

進行跟蹤。經過跟蹤攻擊者地址，我們發現，攻擊者分別地一次性地將大量資金進行轉出，如圖1所示。盡管官方自稱是遭遇了黑客攻擊，但根據我們的分析結果，基本能夠斷定MeerkatFinance項目方已經跑路。

美國加州于Tezos區塊鏈啟動車主證NFT化測試，預計Q2上線配套應用程序:1月27日消息，美國加利福尼亞州機動車管理局（California's Department of Motor Vehicles）將在Tezos區塊鏈上啟動車主證NFT化測試，旨在將汽車產權數字化并簡化車主之間的產權轉讓過程。

據加州機動車管理局首席數字官Ajay Gupta透露，該項目預計將在三個月內完成，屆時還將推出包括數字錢包在內的消費者應用程序。（Crypto Saurus）[2023/1/27 11:32:38]

△圖1

跨鏈橋Stargate上線STG質押功能:4月21日消息，跨鏈橋Stargate宣布其上線STG質押功能已上線，用戶可質押STG，或使用veSTG參與治理。[2022/4/21 14:39:53]

二、事件分析

緊接著，我們開始針對轉移盜竊資金的兩筆交易進行分析，發現攻擊者直接通過調用金庫合約的一個函數，將金庫合約中的資金全部轉走；而金庫合約使用的是可升級的代理合約，也就是實際邏輯是可以進行更改的，其權限在項目方。

湖南省首個健康鏈平臺上線運行:湖南省首個健康鏈平臺日前在湘雅常德醫院上線運行。患者就診時通過關注“湖南省醫院協會”公眾號，即可查詢在各健康鏈醫院就診時的電子檢驗檢查單等，給就診帶來“全新”體驗。據介紹，健康鏈是基于區塊鏈技術建立的新型區塊鏈智能管理系統，不同于以往的傳統查詢模式，它利用智能模型構建、流程分析和數值仿真等方法，通過應用優化理論、智能技術等，對鏈上協同運作管理模型進行全新變革。患者可在線獲取自己的醫療數據、檢驗檢查報告等，同時通過智能合約設置一定權限，可有效保護用戶隱私。（湖南日報）[2020/6/28]

△圖3

△圖4

根據記錄還可得出，項目方在WBNB金庫盜竊中，代理合約的實際邏輯還是正常的金庫合約，在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中，項目方索性扯下了自己的“遮羞布”，一開始就部署的是存在后門的合約。如圖5所示：

△圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼，我們在對其中一個合約進行反編譯時分析發現，其就是一個將代幣進行轉移的函數。如圖6所示：

△圖6

最終，我們得出結論，本次事件顯然是項目方預謀的釣魚事件，從一開始就是奔著跑路去的；而在本次事件中，代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限，導致項目方盜取用戶資金，如同探囊取物。

三、安全建議

成都鏈安安全團隊認為，對于“可升級的代理合約”，在審計角度來看，為了保證項目的可維護性和迭代可能，保留這類權限并不是不可取的。

即使在日常的安全審計工作中，我們也不能要求項目方取消這類權限。但權力是一把雙刃劍，是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中，我們一直以來都有對此類權限加以說明。同時，在這里有必要提醒廣大用戶選擇投資項目時，一定要詳細閱讀安全審計報告中的細節描述，特別是我們給出的潛在風險提示及安全建議。

最后，需要引起注意到是，我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金，目前已有用戶錢包內的資金被盜16萬BUSD。

在此，成都鏈安安全團隊特別提醒各位已參與此項目的用戶，立即取消對該項目地址的授權，或立即轉移錢包內的資金，避免造成二次損失。

BSC授權檢查地址如下：

https://bscscan.com/tokenapprovalchecker

Tags：STG區塊鏈健康鏈BSCSTGZ幣區塊鏈域名選什么后綴好DOGBSC價格

屎幣