作者:昏鴉 & 奇諾比奧
日期:2021年3月4日

前言

據金色財經消息,2021年3月4日下午,Meerkat Finance項目的金庫合約被盜走近3000萬美元資產.

同時也有消息稱項目方官網無法打開,項目方也無法聯系上。

知道空間安全團隊第一時間跟進分析,分享如下。

攻擊流程簡析

攻擊者地址已被標記為Fakes_Phishing17,從交易中可以看到攻擊者從Proxy Vault2(0x7e0c621ea9f7afd5b86a50b0942eaee68b04a61c)合約中盜走13,968,039.801181389726119981 BUSD,然后平均分發給14個后續地址轉移。

在被盜交易tx:0x1332fadcc5378b1cc90159e603b99e0b73ad992b1e6389e012af3872c8cae27d 中,可以看出攻擊者的動作是調用了函數70fcb0a7,參數e9e7cea3dedca5984780bafc599bd69add087d56。

而參數e9e7cea3dedca5984780bafc599bd69add087d56正是BUSD代幣地址,函數70fcb0a7是目前未知的匿名函數。

查看代理合約Proxy Vault2的事件記錄

最后一個事件記錄,恰巧是發生在攻擊前的升級操作,將合約指向了0xB2603fc47331E3500eAf053bd7A971B57e613D36地址,該地址是一個未開源的合約,在平臺反編譯的偽代碼中能發現攻擊交易使用的函數70fcb0a7。

而這一升級操作正是項目方的部署者發起的

因此推斷大概率是項目方跑路。

總結

通過對整個事件的分析來看,Meerkat Finance 此次事故并不在安全漏洞的范疇內,主要的原因在于官方通過代理合約的升級操作指向攻擊合約, 然后通過調用攻擊合約的惡意函數最終轉走近 1400 BUSD。 因此,大概率是項目方跑路,項目方官網進不去、也聯系不上也印證了這一點。

建議

在流動性挖礦的引領下,去中心化金融逐漸成為金融革新的焦點,在這一領域的玩法也越發多樣。DeFi投資更需謹慎,不能枉顧風險一哄而上,而需要對DeFi項目及項目方背景做好充分的了解。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1494/