数字货币行情-比特币行情价格_专注数字货币行业大数据分析

砸盘、销号、解散社群,Merlin Lab“跑路三连”暴露了去中心化的金融什么问题?

更新时间:2021-07-02 17:27点击:


大部分去中心化的金融项目会找审计公司出具审计报告为项目的安全性背书。

不过,审计过的项目并不是肯定安全。5月份发生的BSC集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。

PeckShield告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。

简而言之,需使用“事前事中事后”三段式防御模式,在新合约上线之前要进行全方位而专业的智能合约安全审计,这一步主如果帮协议排查已知的各类漏洞,审计并不可以解决所有问题。

除此之外,还应该注意排查与其他 去中心化的金融 商品进行组合时的业务逻辑漏洞,防止出现跨合约的逻辑兼容性漏洞;要设计肯定的风控熔断机制,引入第三方安全企业的威胁感知情报和数据态势情报服务。

在 去中心化的金融 安全事件发生时,可以做到第一时间响应安全风险,准时排查封堵安全攻击,防止导致更多的损失;并且应联动行业各方力量,搭建一套健全的资产追踪机制,实时监控有关数字货币的流转状况。

在其他协议发生安全事件后,要对我们的协议进行仔细地查缺补漏,是不是有一样的漏洞,是不是有潜在的风险。大家觉得除去需要构建安全的预言机方案,还要透彻理解协议,在预言机这一源头上下功夫,做到从审计角度查出问题,提供靠谱的链下解决方法,准时查缺补漏,才能减小因预言机传达失真数据而带来的价格操纵风险。



抛售代币、注销twitter、微信群解散,昨夜BSC机枪池项目MerlinLab上演一出讯速“大逃亡”。

6月29日15点24分,Merlin Lab遭到黑客攻击。据区块链安全公司PeckShield剖析,Merlin Lab 遭到黑客攻击来自于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万USD。MERL 短时腰斩,从 $16.23 跌至 $6.09。

Merlin Lab在这次攻击中反映非常快,只是这个“快”出乎大部分人的意料:

大部分没想到,项目方对攻击事件的处置是关停项目。

依据项目方的说法,屡次遭受黑客攻击之后,开发职员对项现在景不乐观,并觉得没更多的经验去应付将来潜在的挑战,刚开始的愿景无力达成,只得无奈关停项目。

现在,项目方官方网站依然可以访问,资金可以正常提取。项目方文档、twitter账号与中文微信群已经解散。

这次事件,暴露了去中心化的金融以下问题:1)到底是团队作恶还是正常黑客攻击?2)审计过的项目是不是肯定安全?3)匿名项目是不是值得信赖?4)项目方认输的本钱低,给资金投入人导致的损失如何解决?



Merlin Labs在被攻击之后采取的解决方法并未如前两次一样修补漏洞并且为资金投入人拟定补偿策略。相反,项目方的做法是飞速抛售代币然后宣布项目解散。

这种做法直接致使已经腰斩的币价走向归零。

(项目方抛售代币前,MERL价格在8USD左右,抛售后跌至0.1-0.2USD)

币价狂跌,同样致使为项目提供流动性的LP损失惨重。

可以毫不客气地说,项目方如此做是极不负责任的,完全置资金投入者利益于不考虑。

昨晚抄底的资金投入者本钱多在6-8USD区间,一觉醒来归零。

因为项目方是匿名的,同时项目twitter注销、电报群禁言、微信群解散,受损失的资金投入人几乎无处讨要说法。

去中心化的金融没监管,在“Code is law”的区块链世界资金投入人除去寄期望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防线被突破,资金投入人好像只能自认倒霉。(longcrypto)



PeckShield觉得,这次事件大概是团队作恶。

譬如有一个疑点是:合约还没筹备好,为何要急着部署在我们的主网上呢?

团队作恶可能是:①核心职员主动作恶;②部分职员偷偷作恶;③部分职员与外部黑客联手,里应外合。

项目方在被攻击后连夜关停项目、清空twitter、清空项目wiki、解散微信群、抛售代币等操作,好像有理由被人怀疑这是团队主动作恶。

不过,这次攻击获利金额大约是30万USD,Merlin Labs 在被攻击前的TVL大约有2亿USD。若是核心团队主动作恶,这个收益看起来没足够的魅惑力。

项目方关停项目并没关闭项目网站,仍旧给资金投入人时间提取资金。这种做法好像说明是②或者③的可能性大一些。

也大概完全是来自外部黑客攻击,实属巧合。


依据Debank排名推荐,现在排行榜前十的去中心化的金融项目,几乎都是实名的。

譬如,Curve开创者Michael Egorov,和V神一样是俄罗斯人。Aave开创者兼首席实行官Stani Kulechov,曾在赫尔辛基大学攻读法律专业。Uniswap开创者 Hayden Adams毕业后第一份工作就被裁员,然后世界上少了一名年轻人电气工程师多了一位去中心化的金融创始人。

其他的像Compound(开创者Robert Leshner)、MakerDAO(开创者Rune Christensen)、Liquity(开创者Robert Lauko)也都是实名项目。Venus项目由Swipe团队支持(现在已经改组,Swipe退出项目决策层),Swipe是币安资金投入公司。

只有PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个核心开发者在twitter还算比较活跃,在国内也有专门的中文运营社区。

虽然区块链讲究去中心化、去信赖,实质状况却是,实名项目更容易取得资金投入人信赖。

遗憾的是,Merlin Labs是匿名项目。

官方微信公众号