拋售代幣、註銷推特、微信群解散,昨夜BSC機槍池項目MerlinLab上演一出火速“大逃亡”。
6月29日15點24分,Merlin Lab遭到黑客攻擊。據區塊鏈安全公司PeckShield分析,Merlin Lab 遭到黑客攻擊源於MerlinStrategyAlpacaBNB 中存在的邏輯漏洞,合約誤將收益者轉賬的BNB 作為挖礦收益,使得合約增發更多的MERL 作為獎勵。經過重複操作,攻擊者獲利30 萬美元。 MERL 短時腰斬,從$16.23 跌至$6.09。
Merlin Lab在這次攻擊中反映很快,只不過這個“快”出乎大多數人的意料:
16:54,項目方開始著手調查此事。 17:24,項目方得出初步結論,是經濟規則漏洞被利用了。 23:27,宣布關閉項目,通知用戶停止存款並及時提取資金。 30日零點26分,項目方開始拋售代幣。
大多數沒有想到,項目方對攻擊事件的處理是關停項目。
根據項目方的說法,屢次遭受黑客攻擊之後,開發人員對項目前景不樂觀,並認為沒有更多的經驗去應對未來潛在的挑戰,最初的願景無力實現,只得無奈關停項目。
目前,項目方官網依舊可以訪問,資金可以正常提取。項目方文檔、推特賬號以及中文微信群已經解散。
這次事件,暴露了DeFi以下問題:1)到底是團隊作惡還是正常黑客攻擊? 2)審計過的項目是否一定安全? 3)匿名項目是否值得信任? 4)項目方認輸的成本低,給投資人造成的損失怎麼辦?
1
黑客是自己人?
PeckShield認為,這次事件有可能是團隊作惡。
比如有一個疑點是:合約還沒有準備好,為什麼要急著部署在自己的主網上呢?
“與Alpaca Finance 相關的單一資產機槍池今早剛剛上線Merlin Labs 主網做測試,存在漏洞的合約尚未公佈,也未提供給用戶……實施這一攻擊需要內幕信息,由於合約的部署、上線、審計經手多人,因此內幕人士有多個可能。”
團隊作惡可能是:①核心人員主動作惡;②部分人員偷偷作惡;③部分人員與外部黑客聯手,裡應外合。
項目方在被攻擊後連夜關停項目、清空推特、清空項目wiki、解散微信群、拋售代幣等操作,似乎有理由讓人懷疑這是團隊主動作惡。
不過,這次攻擊獲利金額大約是30萬美元,Merlin Labs 在被攻擊前的TVL大約有2億美元。如果是核心團隊主動作惡,這個收益看上去沒有足夠的誘惑力。
項目方關停項目並沒有關閉項目網站,仍舊給投資人時間提取資金。這種做法似乎說明是②或者③的可能性大一些。
也有可能完全是來自外部黑客攻擊,實屬巧合。
2
審計的項目安全嗎?
大多數DeFi項目會找審計公司出具審計報告為項目的安全性背書。
不過,審計過的項目並非一定安全。 5月份發生的BSC集中被黑客攻擊案例,其中不少項目是經區塊鏈安全公司審計過了的。
PeckShield告訴巴比特,防禦攻擊不是一個靜態的過程,它是個動態的過程。
簡而言之,需採用“事前事中事後”三段式防禦模式,在新合約上線之前要進行全面而專業的智能合約安全審計,這一步主要是幫助協議排查已知的各類漏洞,審計並不能解決所有問題。
此外,還要注意排查與其他DeFi 產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯兼容性漏洞;要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和數據態勢情報服務。
在DeFi 安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失;並且應聯動行業各方力量,搭建一套完善的資產追踪機制,實時監控相關虛擬貨幣的流轉情況。
在其他協議發生安全事件後,要對自己的協議進行仔細地查缺補漏,是否有相似的漏洞,是否有潛在的風險。我們認為除了需要構建安全的預言機策略,還要透徹理解協議,在預言機這一源頭上下功夫,做到從審計角度查出問題,提供可靠的鏈下解決方案,及時查缺補漏,才能減小因預言機傳達失真數據而帶來的價格操縱風險。
3
匿名項目是否值得信任?
根據Debank排行榜,目前排名前十的DeFi項目,幾乎都是實名的。
比如,Curve創始人Michael Egorov,和V神一樣是俄羅斯人。 Aave創始人兼首席執行官Stani Kulechov,曾在赫爾辛基大學攻讀法律專業。 Uniswap創始人Hayden Adams畢業後第一份工作就被裁員,然後世界上少了一名青年電氣工程師多了一位DeFi開創者。
其他的像Compound(創始人Robert Leshner)、MakerDAO(創始人Rune Christensen)、Liquity(創始人Robert Lauko)也都是實名項目。 Venus項目由Swipe團隊支持(目前已經改組,Swipe退出項目決策層),Swipe是Binance投資公司。
只有PancakeSwap和SushiSwap的團隊是匿名的。不過,SushiSwap的幾個核心開發者在推特還算比較活躍,在國內也有專門的中文運營社區。
雖然區塊鏈講究去中心化、去信任,實際情況卻是,實名項目更容易贏得投資人信任。
遺憾的是,Merlin Labs是匿名項目。
4
項目被隨意丟棄,投資人只能認賠?
Merlin Labs在被攻擊之後採取的解決方案並未如前兩次一樣修補漏洞並且為投資人制定補償方案。相反,項目方的做法是迅速拋售代幣然後宣布項目解散。
這種做法直接導致已經腰斬的幣價走向歸零。
(項目方拋售代幣前,MERL價格在8美元左右,拋售後跌至0.1-0.2美元)
幣價暴跌,同樣導致為項目提供流動性的LP損失慘重。
可以毫不客氣地說,項目方這樣做是極不負責任的,完全置投資者利益於不顧。
昨晚抄底的投資者成本多在6-8美元區間,一覺醒來歸零。
由於項目方是匿名的,同時項目推特註銷、電報群禁言、微信群解散,受損失的投資人幾乎無處討要說法。
DeFi沒有監管,在“Code is law”的區塊鏈世界投資人除了寄希望於項目代碼安全,還有就是靠項目方自我道德約束,一旦這兩道防線被突破,投資人似乎只能自認倒霉。