砸盘、销号、解散社群,Merlin Lab“跑路三连”暴露了DeFi哪些问题?

抛售代币、注销推特、微信群解散,昨夜BSC机枪池项目MerlinLab上演一出火速“大逃亡”。

6月29日15点24分,Merlin Lab遭到黑客攻击。据区块链安全公司PeckShield分析,Merlin Lab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。

Merlin Lab在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:

16:54,项目方开始着手调查此事。

17:24,项目方得出初步结论,是经济规则漏洞被利用了。

23:27,宣布关闭项目,通知用户停止存款并及时提取资金。

30日零点26分,项目方开始抛售代币。

大多数没有想到,项目方对攻击事件的处理是关停项目。

根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。

目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

这次事件,暴露了DeFi以下问题:1)到底是团队作恶还是正常黑客攻击?2)审计过的项目是否一定安全?3)匿名项目是否值得信任?4)项目方认输的成本低,给投资人造成的损失怎么办?

1

黑客是自己人?

PeckShield认为,这次事件有可能是团队作恶。

比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?

“与 Alpaca Finance 相关的单一资产机枪池今早刚刚上线 Merlin Labs 主网做测试,存在漏洞的合约尚未公布,也未提供给用户……实施这一攻击需要内幕信息,由于合约的部署、上线、审计经手多人,因此内幕人士有多个可能。”

团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。

不过,这次攻击获利金额大约是30万美元,Merlin Labs 在被攻击前的TVL大约有2亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是②或者③的可能性大一些。

也有可能完全是来自外部黑客攻击,实属巧合。

2

审计的项目安全吗?

大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。

不过,审计过的项目并非一定安全。5月份发生的BSC集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。

PeckShield告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。

简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。

此外,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。

在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。

在其他协议发生安全事件后,要对自己的协议进行仔细地查缺补漏,是否有相似的漏洞,是否有潜在的风险。我们认为除了需要构建安全的预言机策略,还要透彻理解协议,在预言机这一源头上下功夫,做到从审计角度查出问题,提供可靠的链下解决方案,及时查缺补漏,才能减小因预言机传达失真数据而带来的价格操纵风险。

3

匿名项目是否值得信任?

根据Debank排行榜,目前排名前十的DeFi项目,几乎都是实名的。

比如,Curve创始人Michael Egorov,和V神一样是俄罗斯人。Aave创始人兼首席执行官Stani Kulechov,曾在赫尔辛基大学攻读法律专业。Uniswap创始人 Hayden Adams毕业后第一份工作就被裁员,然后世界上少了一名青年电气工程师多了一位DeFi开创者。

其他的像Compound(创始人Robert Leshner)、MakerDAO(创始人Rune Christensen)、Liquity(创始人Robert Lauko)也都是实名项目。Venus项目由Swipe团队支持(目前已经改组,Swipe退出项目决策层),Swipe是Binance投资公司。

只有PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个核心开发者在推特还算比较活跃,在国内也有专门的中文运营社区。

虽然区块链讲究去中心化、去信任,实际情况却是,实名项目更容易赢得投资人信任。

遗憾的是,Merlin Labs是匿名项目。

4

项目被随意丢弃,投资人只能认赔?

Merlin Labs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反,项目方的做法是迅速抛售代币然后宣布项目解散。

这种做法直接导致已经腰斩的币价走向归零。

(项目方抛售代币前,MERL价格在8美元左右,抛售后跌至0.1-0.2美元)

币价暴跌,同样导致为项目提供流动性的LP损失惨重。

可以毫不客气地说,项目方这样做是极不负责任的,完全置投资者利益于不顾。

昨晚抄底的投资者成本多在6-8美元区间,一觉醒来归零。

由于项目方是匿名的,同时项目推特注销、电报群禁言、微信群解散,受损失的投资人几乎无处讨要说法。

DeFi没有监管,在“Code is law”的区块链世界投资人除了寄希望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防线被突破,投资人似乎只能自认倒霉。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/53677.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

物联卡长时间不用会过期吗?关于物联卡强制激活和物联卡销户规则

很多用户反应,对于物联卡的激活不太了解,今天,51物联卡就为你介绍一下正规的物联卡激活方式。 企业认证:企业用户先提供营业执照、法人信息、设备信息等资质,发卡后将SIM卡插入物联网设备,设备通电后&…

王牌战士没显示我的服务器,王牌战士号没了怎么回事 游戏档案被销号解决方法...

【小白网】 王牌战士许多玩家登录游戏发现,自己之前玩的所有记录都没有了,怎么会被销号了呢?毕竟辛辛苦苦玩的数据就直接没了,这个问题让很多玩家都难以接受,下面就来看看解决方法吧。 1:账号登录大区错了 虽然游戏每…

体积较小的计算机称为微型计算机,小型计算机和微型计算机是同一个吗?

不是同一个。 小型计算机是相对于大型计算机而言,小型计算机的软件、硬件系统规模比较小,但价格低、可靠性高、便于维护和使用。小型计算机是属于硬件系统比较小,但功能却不少的微型计算机。 微型计算机简称“微型机”、“微机”,…

“主播露真容,男粉丝销号”的真正启示是什么?

文 | 丁阳 今天,各大网站论坛微博知乎都被一条新闻刷屏,“萝莉音女主播不慎露真容,刷10万元礼物男粉丝销号”。这起网络直播的“翻车”事故,除了让围观者啧啧称奇外,也让那些宅男直播受众愤恨不已,纷纷谴责…

湖南大学计算机博士好考吗,湖南大学最年轻的副教授是什么水平

美美哒花儿2020-08-04 12:50:16 点灭只看此人举报 引用 乐邦神迹发表的: 现在不读博后就可以入职高校了?离谱 现在不读博后就可以入职高校了?离谱 看文章啊,文章够,哪里都可以横着走,做博后不就是因为文章不够嘛。 看文…

linux sleep线程吗,sleep会让出cpu吗 linux sleep 时占CPU吗

一个线程处于sleep状态时它会消耗CPU吗?为什么? sleep()与阻塞函数 是否会一直占用cpu ? 在应用程序中,sleep() 或者 一些读写,同步的阻塞函数,当资源请求没应该不会占用cpu,在sleep期间。 Linux下的sleep…

在mysql+地址是什么类型_Mysql数据库地址是什么怎么填写

Mysql数据库地址:C:\ProgramData\MySQL\MySQL Server 5.5\data。 具体情况: 一、Mysql数据使用MyISAM存储引擎,数据库文件类型就包括.frm、.MYD、.MYI。默认存放位置是C:\Documents and Settings\All Users\Application Data\MySQL\MySQL Ser…

LeetCode从入门到销号

欢迎各位各位收看从入门到脱坑栏目, ** ** 今天给大家演示一下LeetCode怎么玩 1:注册一个账号 2:点击题库 3:点击《两数之和》,如图所示 4,来到以下界面, 5:框1写的是题目,本题的意…

苹果id可以彻底注销吗_QQ可以销号了!我们一代人的青春,你会注销吗?

朋友,你有多久没上QQ了? QQ 承载了很多人的 青春和回忆 但是,如果有一天 我们可以注销自己的QQ账号 与QQ来一次彻底的“决裂” 你愿意吗? 近日,微博热搜榜上 关于“QQ将实现注销功能”的消息 让网友们沸腾起来了 ▼ 3月…

计算机与现代化是核心期刊吗,计算机与现代化是核心期刊吗

《计算机与现代化》属于国家级的计算机刊物,这本期刊不是核心期刊这一点作者可以在知网和维普上进行查询,如果作者想要发表这本期刊可以联系我们的在线编辑,可以在线给您答疑。 《计算机与现代化》期刊简介: 《计算机与现代化》本…

希望所有计算机专业同学都知道这些老师

C语言教程——翁凯老师、赫斌 翁恺老师是土生土长的浙大码农,从本科到博士都毕业于浙大计算机系,后来留校教书,一教就是20多年。 翁恺老师的c语言课程非常好,讲解特别有趣,很适合初学者学习。 郝斌老师的思路是以初学…

【AutoGPT】什么是 AutoGPT?—— 解决 GPT 复杂任务无需人为干预(Github Star 60K)

GitHub地址 (Star 60K): https://github.com/Torantulino/Auto-GPT 目录 前言 什么是 AutoGPT? AutoGPT 有哪些特点

智慧眼:人机共智,跟Chat GPT聊聊数字健康

发布仅仅三个月,用户数据破亿,刚刚过去的情人节,有报告称全球 30% 男性在用他写情书,对于亿万网友来讲,ChatGPT是一个貌似无所不能的对话机器人,他会整合各种有用的信息,协助人类完成写代码、文…

彩票相关知识

很多人做梦都想中得彩票头奖,很多人希望天上能掉下馅饼来砸中自己,很多人在作白日梦……彩票是一种风险投资,是一种四两拨千斤的气势,更是一种众人拾柴火焰高的真实写照,没买过彩票的人是很难体会那种美好的期望及期望…

世界杯期间中国体彩网的计算器无法选择

世界杯期间中国体彩网的计算器无法选择 胜平负都无法选择,而且字体都变灰了,这明显就是给元素disable了啊,F12打开浏览器控制台(我使用的是谷歌浏览器,其余浏览器同理) 点击上方检查按钮 比如我要买葡萄牙…

AIGC|探索AIGC在网易严选中的应用

*本文字数4000字左右,预计5分钟读完 引言:网易严选设计中心致力于为用户提供更好的产品和服务,让用户享受到科技带来的红利,进而更用心的享受美好生活。 项目背景 AIGC(AI Generated Content)是一种新型的…

智能化,解不了协同办公“旧疾”

图源:电影《武状元苏乞儿》 ©自象限原创 作者|蒋瑶 编辑|程心 排版|罗辑 整个4月,沉寂已久的协同办公赛道,就像过年了一样热闹。 一轮轮新产品发布像接力赛。飞书展示了“My AI”写作Demo、钉钉抢…

Python量化交易策略及回测系统

目录 前言:行文思路1、模块导入2、数据获取3、股票数据类型转换4、回测系统编写5、策略编写6、实例化策略非面向对象的编程分析总结 2022.12.3更新:由于一些因素不得不将文章中的大部分代码进行删除,但行文思路还是完整的,大家可以…

我用Python做一个量化指数增强策略,爽了 !附代码!

这是邢不行第 84 期量化小讲堂的分享 作者 | 邢不行、密斯锌硒 A股是一个神奇的地方,它最大的特点就是多年不涨和永远的3000点。 正因如此,调侃A股的段子层出不穷。 甚至连中国男足这么烂的行业都有人跑来Diss,讽刺A股比国足更差。 我想说的是…

我在创业公司的开发经验总结

本文是流船原创授权本公号分享的他在创业公司的开发经验,小公司同样有牛人,大公司同样有混日子的,不用羡慕在大厂的,好好蛰伏,自然有一天你的努力会产生回报,如果没有回报,能力在手,…