簡析meerkat跑路事件 如何躲避DeFi野礦?

2021-03-05 18:03:36

內容來自“大橙子&小同的幹貨鋪”的知識星球,作者康納Repeat。

安全生產簡析下meerkat跑路事件

一、核心問題

1. AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換

2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。

二、現場還原(以BUSD池為例) 

1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock 地址,用於混淆視聽

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_ SLOT, 但讀取key卻為ADMIN_ SLOT。即O (歐)和0 (零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象

三、結論和經驗

1.高度警惕任何包含proxy 方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險

2. never trust, always verify! 不要相信項目方給出的timelock“證據”, 對於未經審計的fork項目,務必逐個contract做好與原項目的diff (如果你做到了,就可以躲過meerkat的障眼法)

3.基於1更要養成良好的approve 管理意識,meerkat在跑路後仍然通過無限授權,盜取用戶錢包內資產,窮兇極惡。切勿麻痹大意,你永遠不知道你曾經授權過的土礦,是否包含proxy模式,是否已經替換了惡意合約!

4. timelock是安全底线,無論是HECO的LLC,還是BSC的popcornswap、meerkat,犯罪方式越發隱蔽的,但萬變不離其宗,都是無timelock、假timelock。 珍愛生命,遠離無鎖土礦

最後

昨天案發後幾乎沒有看到個人或團隊有明確解析,考慮到未來模仿犯罪不可避免,索性公开信息希望做到安全教育的目的。老農務必提高自己的姿勢水平,留意此類風險。最後祝大家挖礦出入平安。

簡析meerkat跑路事件 如何躲避DeFi野礦?簡析meerkat跑路事件 如何躲避DeFi野礦?簡析meerkat跑路事件 如何躲避DeFi野礦?

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

逆市拉盤,一文速覽Depin協議Grass為何暴漲

在加密市場近期震蕩中,Grass代幣($GRASS)以其獨特的表現引發了市場的廣泛關注。尤其是在過...

coincaso
6 1天前

從大虧8.68億到協議重生:Ethena的困境與破局

引言Ethena是本輪周期少有的現象級DeFi項目,其代幣上线後流通市值一度超過20億美金(對應F...

coincaso
13 3天前

GLIF代幣空投:Filecoin最大DeFi協議开啓一億枚代幣的分發!

Glif是Filecoin上最大的DeFi協議,正在推出其原生代幣。總計將向用戶空投1億枚GLIF...

coincaso
22 6天前

牛熊轉換:加密貨幣的PvP與PvE模式解析

“畢業後,你會有一段短暫的時間來進行超高風險投資以獲得精英地位,否則你就會終身成為工資奴隸。” -...

coincaso
25 6天前

LRT 之爭:在劇烈波動中賺取 AVS 獎勵

前言比特幣重回 7W,行情波動加劇,再質押重回投資者視野,幣圈真正賺錢的時候,一定是在低風險高收益...

coincaso
26 1周前

World Liberty Financial能否改變穩定幣遊戲規則?

特朗普加密項目“World Liberty”計劃發行穩定幣,消息人士稱據悉,特朗普加密項目計劃推出...

coincaso
25 1周前