抛售代币、注销推特、微信群解散,昨夜BSC机池项目MerlinLab上演一出火速“大逃亡”。
6月29日15点24分,Merlin Lab遭到黑客攻击。据区块链安全公司PeckShield分析,Merlin Lab 遭到黑客攻击源于 MerlinStrategyAlpacaBNB 中存在的逻辑漏洞,合约误将收益者转账的 BNB 作为挖矿收益,使得合约增发更多的 MERL 作为奖励。经过重复操作,攻击者获利 30 万美元。MERL 短时腰斩,从 $16.23 跌至 $6.09。
Merlin Lab在这次攻击中反映很快,只不过这个“快”出乎大多数人的意料:
大多数没有想到,项目方对攻击事件的处理是关停项目。
根据项目方的说法,屡次遭受黑客攻击之后,开发人员对项目前景不乐观,并认为没有更多的经验去应对未来潜在的挑战,最初的愿景无力实现,只得无奈关停项目。
目前,项目方官网依旧可以访问,资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。
这次事件,暴露了DeFi以下问题:
1)到底是团队作恶还是正常黑客攻击?
2)审计过的项目是否一定安全?
3)匿名项目是否值得信任?
4)项目方认输的成本低,给投资人造成的损失怎么办?
PeckShield认为,这次事件有可能是团队作恶。
比如有一个疑点是:合约还没有准备好,为什么要急着部署在自己的主网上呢?
DeFi初创公司Thala Labs获得600万美元种子轮融资:金色财经报道,去中心化金融公司Thala Labs获得600万美元种子轮融资,ParaFi Capital、White Star Capital和Shima Capital共同领投,其他投资者包括Beco Capital、LedgerPrime、Saison Capital和Infinity Ventures Crypto。
Thala Labs将在Aptos区块链上构建DeFi应用程序,并且已经在开发去中心化的稳定币。(the block)[2022/10/26 16:38:42]
团队作恶可能是:①核心人员主动作恶;②部分人员偷偷作恶;③部分人员与外部黑客联手,里应外合。
项目方在被攻击后连夜关停项目、清空推特、清空项目wiki、解散微信群、抛售代币等操作,似乎有理由让人怀疑这是团队主动作恶。
不过,这次攻击获利金额大约是30万美元,Merlin Labs 在被攻击前的TVL大约有2亿美元。如果是核心团队主动作恶,这个收益看上去没有足够的诱惑力。
项目方关停项目并没有关闭项目网站,仍旧给投资人时间提取资金。这种做法似乎说明是②或者③的可能性大一些。
也有可能完全是来自外部黑客攻击,实属巧合。
大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。
不过,审计过的项目并非一定安全。5月份发生的BSC集中被黑客攻击案例,其中不少项目是经区块链安全公司审计过了的。
PeckShield告诉巴比特,防御攻击不是一个静态的过程,它是个动态的过程。
简而言之,需采用“事前事中事后”三段式防御模式,在新合约上线之前要进行全面而专业的智能合约安全审计,这一步主要是帮助协议排查已知的各类漏洞,审计并不能解决所有问题。
此外,还要注意排查与其他 DeFi 产品进行组合时的业务逻辑漏洞,避免出现跨合约的逻辑兼容性漏洞;要设计一定的风控熔断机制,引入第三方安全公司的威胁感知情报和数据态势情报服务。
在 DeFi 安全事件发生时,能够做到第一时间响应安全风险,及时排查封堵安全攻击,避免造成更多的损失;并且应联动行业各方力量,搭建一套完善的资产追踪机制,实时监控相关虚拟货币的流转情况。
在其他协议发生安全事件后,要对自己的协议进行仔细地查缺补漏,是否有相似的漏洞,是否有潜在的风险。我们认为除了需要构建安全的预言机策略,还要透彻理解协议,在预言机这一源头上下功夫,做到从审计角度查出问题,提供可靠的链下解决方案,及时查缺补漏,才能减小因预言机传达失真数据而带来的价格操纵风险。
根据Debank排行榜,目前排名前十的DeFi项目,几乎都是实名的。
比如,Curve创始人Michael Egorov,和V神一样是俄罗斯人。Aave创始人兼首席执行官Stani Kulechov,曾在赫尔辛基大学攻读法律专业。Uniswap创始人 Hayden Adams毕业后第一份工作就被裁员,然后世界上少了一名青年电气工程师多了一位DeFi开创者。
其他的像Compound(创始人Robert Leshner)、MakerDAO(创始人Rune Christensen)、Liquity(创始人Robert Lauko)也都是实名项目。Venus项目由Swipe团队支持(目前已经改组,Swipe退出项目决策层),Swipe是Binance投资公司。
只有PancakeSwap和SushiSwap的团队是匿名的。不过,SushiSwap的几个核心开发者在推特还算比较活跃,在国内也有专门的中文运营社区。
虽然区块链讲究去中心化、去信任,实际情况却是,实名项目更容易赢得投资人信任。
遗憾的是,Merlin Labs是匿名项目。
Merlin Labs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反,项目方的做法是迅速抛售代币然后宣布项目解散。
这种做法直接导致已经腰斩的币价走向归零。
(项目方抛售代币前,MERL价格在8美元左右,抛售后跌至0.1-0.2美元)
币价暴跌,同样导致为项目提供流动性的LP损失惨重。
可以毫不客气地说,项目方这样做是极不负责任的,完全置投资者利益于不顾。
昨晚抄底的投资者成本多在6-8美元区间,一觉醒来归零。
由于项目方是匿名的,同时项目推特注销、电报群禁言、微信群解散,受损失的投资人几乎无处讨要说法。
DeFi没有监管,在“Code is law”的区块链世界投资人除了寄希望于项目代码安全,还有就是靠项目方自我道德约束,一旦这两道防线被突破,投资人似乎只能自认倒霉。
标签:AMA以太坊SAMAKusamaBabyAMA以太坊价格币走势图Exosama Networkkusama币未来会涨到多少
以往的去中心化衍生品因受以太坊Layer1的诸多限制而无法真正做到可用。衍生品交易由于自带杠杆属性,放大资金使用率的同时也导致了其所能承受的波动相对更小,换句话说就是对市场价格变动的反映更加灵敏。
与比特币一样,以太坊目前使用一种称为“挖矿”的能源密集型过程来创建和分发新的加密货币。全球有成千上万的人帮助实现这一目标,他们被称为矿工,他们在竞赛中操作价值数百万美元的机器,解决计算问题并赚取ETH, ETH是该网络的原生加密货币。 但在明年的某个时候,以太坊将进行重大升级,这将从根本上改变网络的运作方式以及新ETH的创建方式。以太坊挖矿将成为过去。
本周技术周刊包含比特币、以太坊、Kusama、Filecoin四个网络的技术类消息。 比特币矿工将迎来有史以来最大的难度调整 金色财经报道,根据加密货币矿池Slush Pool的说法,根据最近的出块时间,比特币难度调整可能会达到25%的最大负调整。据coinwarz数据,截至目前,挖矿难度可能会下降20.42%。
上周,中国境内矿场开始新一轮的密集关闭,央行与各大金融机构也发文打击加密货币,恐慌情绪在市场中蔓延。 比特币也受到影响,在上周一度跌下 29000 美元,而后多头反击,最后周线收盘表现不错。然而,并不是所有人都相信市场已经真正见底。因此进一步下行的风险仍然存在。
上学那会看到同学在玩一个叫《模拟人生》的游戏,就好奇地凑过去问他这游戏的目的是干啥,怎么通关? 他回答说:“这游戏没有目的,也不存在通关,就是扮演一个虚拟的你,游戏世界里的你想干啥都行”。 当时习惯了RPG这种关卡设计,与CS、星际这种目的性很强的游戏的我,表示不能理解。然而直觉上,我觉得这是个很有新意的游戏,虽然对我并没有什么吸引力。
「比特币挖矿移动性&比特币作为电池」 比特币挖矿的另一个关键特征是,比特币挖矿是移动的,矿工只需要获得电力和互联网,就可成功的挖矿。例如,矿工可在偏远地区挖比特币,那里有相对便宜的可再生能源,而这些能源无法运输到其他地方使用。在这种情况下,矿工能够将廉价闲置能源货币化。