Aplastar el mercado, cancelar la cuenta y disolver la comunidad ¿Qué problemas en DeFi han sido expuestos por el "ejecutar tres veces" de Merlin Lab?

Al vender tokens, cancelar Twitter y disolver el grupo WeChat, MerlinLab, el proyecto de grupo de ametralladoras de BSC, organizó un rápido "Gran Escape" anoche.

A las 15:24 del 29 de junio, Merlin Lab fue pirateado. Según el análisis de la empresa de seguridad blockchain PeckShield, el hackeo de Merlin Lab surge de una laguna lógica en MerlinStrategyAlpacaBNB: el contrato usó erróneamente el BNB transferido por el beneficiario como ingreso minero, lo que hizo que el contrato emitiera más MERL como recompensa. Tras repetir la operación, el atacante obtuvo una ganancia de 300.000 dólares. MERL se redujo brevemente a la mitad, cayendo de $ 16.23 a $ 6.09.

Merlin Lab respondió muy rápidamente a este ataque, pero este "rápido" superó las expectativas de la mayoría de las personas:

La mayoría de ellos no esperaba que la respuesta de la parte del proyecto al ataque fuera cerrar el proyecto.

Según el equipo del proyecto, después de ser atacados repetidamente por piratas informáticos, los desarrolladores no eran optimistas sobre las perspectivas del proyecto y creían que no tenían más experiencia para hacer frente a los posibles desafíos en el futuro. La visión original no se podía realizar, por lo que no tuvieron más remedio que cerrar el proyecto.

En la actualidad, aún se puede acceder al sitio web oficial del partido del proyecto y los fondos se pueden retirar normalmente. La documentación del proyecto, la cuenta de Twitter y el grupo WeChat chino se han disuelto.

Este incidente expuso los siguientes problemas en DeFi:

1) ¿El equipo está haciendo piratería malvada o normal?

2) ¿Los proyectos auditados son necesariamente seguros?

3) ¿Son fiables los proyectos anónimos?

4) El costo de admitir la derrota de la parte del proyecto es bajo, ¿qué se debe hacer con las pérdidas causadas a los inversores?

PeckShield cree que este incidente puede ser un grupo de malvados.

Por ejemplo, surge una duda: el contrato aún no está listo, ¿por qué debemos apresurarnos a implementarlo en nuestra red principal?

Hisense Group solicitó varias marcas comerciales de Metaverse: según las noticias del 16 de diciembre, la aplicación Tianyancha mostró que Hisense Group Co., Ltd. solicitó recientemente el registro de varias marcas comerciales como "Hisense Metaverse", "Hisense Family Metaverse" e "Hisense". Love Family Metaverse", la clasificación internacional involucra ventas de publicidad, servicios sociales, instrumentos científicos, etc., y el estado actual de las marcas registradas está bajo aplicación.

Antes de esto, Sichuan Changhong Electric Co., Ltd. solicitó el registro de varias marcas comerciales de "Changhong Yuan Universe", "Hong Yuan Universe" y "MATECHIQ". El estado actual de estas marcas comerciales está "en espera de un examen sustantivo". . (Tiempos de valores) [2021/12/16 7:43:32]

El mal en el equipo puede ser: ① el personal central comete el mal de forma activa; ② parte del personal comete el mal en secreto; ③ parte del personal se une a los piratas informáticos externos y coopera interna y externamente.

Después de ser atacado, la parte del proyecto cerró el proyecto durante la noche, limpió Twitter, limpió el wiki del proyecto, disolvió el grupo WeChat, vendió tokens y otras operaciones, lo que parece tener motivos para sospechar que este es el mal activo del equipo.

Sin embargo, la ganancia de este ataque fue de alrededor de $300,000 y Merlin Labs tenía un TVL de alrededor de $200 millones antes de ser atacado. Si el equipo central tomó la iniciativa de hacer el mal, este beneficio no parece lo suficientemente atractivo.

La parte del proyecto que cerró el proyecto no cerró el sitio web del proyecto y aún así les dio tiempo a los inversores para retirar fondos. Este enfoque parece indicar que es más probable que sea ② o ③.

También es posible que haya sido puramente un truco externo, lo cual es pura coincidencia.

La mayoría de los proyectos DeFi encontrarán una empresa de auditoría para emitir un informe de auditoría para respaldar la seguridad del proyecto.

Sin embargo, los proyectos auditados no son necesariamente seguros. En el caso de que BSC haya sido pirateado intensamente en mayo, muchos de los proyectos han sido auditados por empresas de seguridad de blockchain.

PeckShield le dijo a Babbitt que defenderse de los ataques no es un proceso estático, es un proceso dinámico.

En resumen, es necesario adoptar un modelo de defensa de tres etapas de "antes, durante y después". Antes de que el nuevo contrato entre en línea, se debe realizar una auditoría de seguridad de contrato inteligente integral y profesional. Este paso es principalmente para ayudar al protocolo solucionar lagunas conocidas No todos los problemas se pueden resolver.

Además, también debemos prestar atención a la investigación de lagunas en la lógica empresarial cuando se combinan con otros productos DeFi para evitar lagunas en la compatibilidad de la lógica entre contratos; debemos diseñar un cierto mecanismo de fusible de control de riesgos e introducir inteligencia de percepción de amenazas e inteligencia de situación de datos de terceros. -Servicio de empresas de seguridad para fiestas.

Cuando ocurre un incidente de seguridad de DeFi, es posible responder a los riesgos de seguridad lo antes posible, verificar y bloquear oportunamente los ataques de seguridad y evitar causar más pérdidas; y es necesario vincular fuerzas con todas las partes de la industria para construir un sistema integral. mecanismo de seguimiento de activos y monitorearlos en tiempo real La circulación de monedas virtuales relevantes.

Después de que ocurre un incidente de seguridad en otros protocolos, es necesario verificar cuidadosamente y llenar los vacíos en su propio protocolo, si existen lagunas similares y si existen riesgos potenciales. Creemos que además de construir una estrategia segura de Oracle, también es necesario comprender a fondo el protocolo, trabajar duro en la fuente del Oracle, descubrir problemas desde una perspectiva de auditoría, brindar soluciones confiables fuera de la cadena y verificar oportunamente deficiencias y compensarlas. Poco riesgo de manipulación de precios debido a oráculos que transmiten datos distorsionados.

Según la lista de clasificación de Debank, casi todos los diez principales proyectos DeFi tienen nombres reales.

Por ejemplo, el fundador de Curve, Michael Egorov, al igual que V God, es ruso. Stani Kulechov, fundador y CEO de Aave, estudió derecho en la Universidad de Helsinki. El fundador de Uniswap, Hayden Adams, fue despedido en su primer trabajo después de graduarse, y luego hubo un ingeniero eléctrico menos en el mundo y un pionero más de DeFi.

Otros como Compound (fundador Robert Leshner), MakerDAO (fundador Rune Christensen) y Liquity (fundador Robert Lauko) también son proyectos de nombre real. El proyecto Venus cuenta con el respaldo del equipo de Swipe (actualmente reorganizado, Swipe se ha retirado del nivel de toma de decisiones del proyecto) y Swipe es una empresa de inversión de Binance.

Solo los equipos de PancakeSwap y SushiSwap son anónimos. Sin embargo, varios desarrolladores centrales de SushiSwap son relativamente activos en Twitter, y también hay comunidades operativas chinas dedicadas en China.

Aunque la cadena de bloques hace hincapié en la descentralización y la falta de confianza, la realidad es que es más probable que los proyectos con nombre real ganen la confianza de los inversores.

Desafortunadamente, Merlin Labs es un proyecto anónimo.

La solución adoptada por Merlin Labs tras ser atacada no solucionó las vulnerabilidades y formuló un plan de compensación para los inversores como en las dos ocasiones anteriores. Por el contrario, el enfoque del lado del proyecto es volcar rápidamente los tokens y luego anunciar la disolución del proyecto.

Este enfoque condujo directamente a que el precio de la moneda que se había reducido a la mitad volviera a cero.

(Antes de que el lado del proyecto vendiera los tokens, el precio de MERL era de alrededor de $ 8 y cayó a $ 0.1-0.2 después de la venta)

La fuerte caída en los precios de las divisas también causó fuertes pérdidas a los LP que proporcionan liquidez al proyecto.

Se puede decir sin rodeos que es extremadamente irresponsable que la parte del proyecto lo haga, ignorando por completo los intereses de los inversores.

El costo de los inversores que compraron el fondo anoche estuvo en su mayoría en el rango de 6-8 dólares estadounidenses, y era cero cuando se despertaron.

Dado que la fiesta del proyecto es anónima y el proyecto Twitter ha sido cancelado, el grupo de Telegram ha sido prohibido y el grupo WeChat ha sido disuelto, los inversores que han sufrido pérdidas casi no tienen dónde pedir una explicación.

DeFi no tiene supervisión. En el mundo blockchain de "El código es ley", los inversores no solo ponen la esperanza en la seguridad del código del proyecto, sino que también confían en la autolimitación moral de la parte del proyecto. Una vez que estas dos líneas de defensa son roto, los inversores parecen no tener más remedio que admitir la mala suerte.

Tags：

Ethereum