Análisis del evento de fuga de Meerkat Finance: menos de 1 día después de que se puso en línea, se escapó con dinero y se llevaron 30 millones de dólares estadounidenses

El 4 de marzo de 2021, hora de Beijing, según el seguimiento de la opinión pública de [Beosin-OSINT], se sospechaba que el proyecto ecológico DeFi de BSC Meerkat Finance había huido, alegando que el contrato de tesorería fue pirateado, los piratas informáticos utilizaron la laguna para robar todos los fondos en la bóveda. El sitio web del proyecto no está disponible actualmente.

El equipo de seguridad de Chengdu Beosin (Beosin) lanzó una respuesta de seguridad al incidente lo antes posible, apuntando a la dirección de ataque del usuario.

(0x9542966f1114eaa5859201aa8d34358bfedbfa79)

para realizar un seguimiento. Después de rastrear la dirección del atacante, descubrimos que el atacante transfirió una gran cantidad de fondos a la vez, como se muestra en la Figura 1. Aunque el funcionario afirmó haber encontrado un ataque de piratas informáticos, según los resultados de nuestro análisis, básicamente se puede concluir que el proyecto Meerkat Finance se ha escapado.

LUNA reportó $2,12, una caída de 13,51% en 24 horas: Golden Finance News, según los datos de CoinMarketCap, en el momento de la publicación, LUNA reportó $2,12, una caída de 24 horas de 13,51%.

Según noticias anteriores, según los fiscales de Corea del Sur, DoKwon, el fundador de Terra, fue incluido en la lista de los más buscados de Interpol. [2022/9/26 7:20:59]

Figura 1

Figura 2

Inmediatamente después, comenzamos a analizar las dos transacciones de transferencia de los fondos robados y descubrimos que el atacante transfirió directamente todos los fondos en el contrato de la bóveda llamando a una función del contrato de la bóveda; y el contrato de la bóveda usó un contrato proxy actualizable, que Es decir, la lógica real se puede cambiar y su autoridad recae en el lado del proyecto.

Presidente del Banco Nacional Suizo: Los servicios de inversión en criptomonedas no se brindarán temporalmente: El 30 de abril, Thomas J. Jordan, presidente del Banco Nacional Suizo, declaró que el Banco Nacional Suizo no brindará servicios de inversión en criptomonedas a sus clientes. La razón es que las criptomonedas aún no son lo suficientemente líquidas. (U. Hoy) [2021/4/30 21:14:31]

Figura 3

Figura 4

Según los registros, se puede concluir que en el robo de la tesorería de WBNB por parte de la parte del proyecto, la lógica real del contrato de representación sigue siendo un contrato de tesorería normal, y la lógica del contrato se reemplaza con un contrato con una puerta trasera durante el ataque. . Sin embargo, en la transacción de robar BUSD, la parte del proyecto simplemente arrancó su propia "hoja de parra", implementando un contrato con una puerta trasera desde el principio. Como se muestra en la Figura 5:

Figura 5

El equipo de seguridad de Chengdu Beosin descubrió que los contratos de puerta trasera utilizados en los dos ataques eran el mismo conjunto de códigos. Cuando descompilamos uno de los contratos, descubrimos que era una función para transferir tokens. Como se muestra en la Figura 6:

Figura 6

Al final, llegamos a la conclusión de que este incidente fue obviamente un incidente de phishing premeditado por la parte del proyecto, y se estaba escapando desde el principio; y en este incidente, el culpable en la capa de código fue el "contrato de proxy actualizable". A la parte del proyecto se le otorga demasiada autoridad, lo que hace que la parte del proyecto robe los fondos de los usuarios, como si sacara algo de una bolsa.

El equipo de seguridad de Chengdu Beosin (Beosin) cree que para los "contratos de proxy actualizables", desde la perspectiva de la auditoría, para garantizar la capacidad de mantenimiento y la posibilidad de iteración del proyecto, no es recomendable conservar dichos permisos. Incluso en el trabajo diario de auditoría de seguridad, no podemos pedirle a la parte del proyecto que cancele dichos permisos. Pero el poder es un arma de doble filo, buena o mala según quien la empuñe. En el informe de auditoría de seguridad emitido por Chengdu Lianan, siempre hemos explicado dichos permisos. Al mismo tiempo, es necesario recordar a los usuarios que lean atentamente las descripciones detalladas en el informe de auditoría de seguridad al elegir proyectos de inversión, especialmente las advertencias de riesgo potencial y las recomendaciones de seguridad que brindamos.

Finalmente, cabe señalar que hemos detectado que los atacantes están utilizando la función transferFrom para robar fondos autorizados al contrato de bóveda en las billeteras de los usuarios.Hasta el momento, se han robado 160,000 BUSD de fondos en las billeteras de los usuarios.

Aquí, el equipo de seguridad de Chengdu Beosin recuerda específicamente a todos los usuarios que han participado en este proyecto que cancelen inmediatamente la autorización de la dirección del proyecto o transfieran inmediatamente los fondos en la billetera para evitar pérdidas secundarias.

La dirección de inspección de autorización de BSC es la siguiente:

https://bscscan.com/tokenapprovalchecker

Tags：

DAI