基於幣安智能鏈(Binance Smart Chain,BSC)的 DeFi 協議 Meerkat Finance 上線一天後,項目團隊便在官方 Telegram 頻道中發布消息,自稱智能合約金庫遭遇駭客入侵,攻擊者利用漏洞盜走全數資金。
不過,鏈上數據表明,實情可能沒那麼簡單。首先,Meerkat Finance 是在散播消息之後,金庫才出現兩筆交易,分批轉走價值約 3,100 萬美元的資金,當中包含 1,396 萬美元的 BUSD 以及 1,740 萬美元的幣安幣(BNB)。
除此之外,社群還陸續傳出有關「官網無法打開」、「聯繫不上項目方」的消息,引發各界猜測,認為 Meerkat Finance 是監守自盜後,捲款潛逃。
針對這次事件,幣安官方回應稱:
我們已發現 Meerkat Finance 異常情況,幣安安全團隊正在跟進中,如果監測到資金流向幣安交易平台會進行凍結。
外媒《The Block》指出,Meerkat Finance 所指的「駭客」其實是通過使用「協議部署者」的原始帳戶,直接調用金庫合約的函數,再將資金全數轉走。這表明,Meerkat Finance 帳戶的私鑰若不是由項目方自行控制,那就是被盜了。再者,更令人震驚的是,Meerkat Finance 的官網地址已顯示「正在出售」,而官方推特帳戶也已被刪除。
同時,根據資安團隊成都鏈安分析,Meerkat Finance 金庫合約使用的是可升級的代理合約,換言之,合約實際邏輯是可以進行更改,而且權限在項目方。成都鏈安最後補充道,
必須注意的是,我們監測到攻擊者在使用 transferFrom 函數盜取用戶錢包內已授權給金庫合約的資金,目前已有用戶錢包內的資金被盜 16 萬 BUSD。
區塊客因此提醒讀者,若有參與此項目,應立即取消對該項目地址的授權,或立即轉移錢包內的資金,避免造成二次損失。
轉自:https://blockcast.it/