简析meerkat跑路事件 如何躲避DeFi野矿?

内容来自“大橙子&小同的干货铺”的知识星球,作者康纳Repeat。

1. AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换

2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。

1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock 地址,用于混淆视听

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_ SLOT, 但读取key却为ADMIN_ SLOT。即O (欧)和0 (零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象

开源自动化做市商Saddle筹集750万美元:金色财经报道,开源自动化做市商(AMM)Saddle已经完成了由Polychain和Electric Capital牵头,Nascent、Project Galaxy和其他公司参与的750万美元融资。该公司此前已于1月份筹集了430万美元。Saddle创始人Sunil Srivatsa表示,这项投资将使Saddle能够继续推进其产品,使挂钩价值的加密资产能够实现效率、盈利能力和增长。此外,计划扩大团队,帮助将低滑点稳定币引入DeFi中的每条链,并投资于Saddle社区和创造者元宇宙。[2021/11/12 6:47:25]

1.高度警惕任何包含proxy 方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险

2. never trust, always verify! 不要相信项目方给出的timelock“证据”, 对于未经审计的fork项目,务必逐个contract做好与原项目的diff (如果你做到了,就可以躲过meerkat的障眼法)

3.基于1更要养成良好的approve 管理意识,meerkat在跑路后仍然通过无限授权,盗取用户钱包内资产,穷凶极恶。切勿麻痹大意,你永远不知道你曾经授权过的土矿,是否包含proxy模式,是否已经替换了恶意合约!

4. timelock是安全底线,无论是HECO的LLC,还是BSC的popcornswap、meerkat,犯罪方式越发隐蔽的,但万变不离其宗,都是无timelock、假timelock。 珍爱生命,远离无锁土矿

昨天案发后几乎没有看到个人或团队有明确解析,考虑到未来模仿犯罪不可避免,索性公开信息希望做到安全教育的目的。老农务必提高自己的姿势水平,留意此类风险。最后祝大家挖矿出入平安。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

FTX312一周年在即 加密货币的“糟糕三月”会重现吗?

目前可能处于牛市的第一阶段与第二阶段之间,312也不会重来。 在2月的最后一周,比特币出现大幅回调,一度跌超25%,主流币和山寨币随之崩塌。当时市场正在被多头情绪笼罩,回调一出,数十万期货投资者爆仓,爆仓金额达数百亿,还超去年“312”。 3月伊始,比特币反弹,但价格仍然在50000$下方挣扎。

欧易okex官网Alpha的AlphaX

Alpha不是一个固定的产品 从目前看,Alpha的产品主要是杠杆化的流动性挖矿,帮助加密资产(ETH等)提供者赚取收益,帮助流动性挖矿者提高收益,它本质上也是一个借贷市场,但它又不是普通的借贷市场,它跟流动性挖矿结合起来,从而在借贷市场中开辟出一个新的领地。

ICP金色观察丨交易所能否在新风口下实现与NFT双赢?

金色财经 区块链3月9日讯  去年热极一时的去中心化(DeFi)浪潮让多少没有“及时上车”的加密货币投资者懊悔不已。DeFi总锁仓量仅用了短短一年时间就从50亿美元飙升至600多亿美元,超过12倍的涨幅让不少人震惊不已。然而从今年开始,又有一股新的浪潮开始席卷加密货币市场,它就是:NFT(非同质化代币)。

[0:0ms0-0:499ms