Merlin Lab “跑路三連”暴露了 DeFi 哪些問題?

買賣虛擬貨幣

拋售代幣、登出推特、微信群解散,昨夜BSC機槍池專案MerlinLab上演一出火速“大逃亡”。

6月29日15點24分,Merlin Lab遭到駭客攻擊。據區塊鏈安全公司PeckShield分析,Merlin Lab 遭到駭客攻擊源於 MerlinStrategyAlpacaBNB 中存在的邏輯漏洞,合約誤將收益者轉賬的 BNB 作為挖礦收益,使得合約增發更多的 MERL 作為獎勵。經過重複操作,攻擊者獲利 30 萬美元。MERL 短時腰斬,從 $16.23 跌至 $6.09。

Merlin Lab在這次攻擊中反映很快,只不過這個“快”出乎大多數人的意料:

16:54,專案方開始著手調查此事。17:24,專案方得出初步結論,是經濟規則漏洞被利用了。23:27,宣佈關閉專案,通知使用者停止存款並及時提取資金。30日零點26分,專案方開始拋售代幣。

大多數沒有想到,專案方對攻擊事件的處理是關停專案。

根據專案方的說法,屢次遭受駭客攻擊之後,開發人員對專案前景不樂觀,並認為沒有更多的經驗去應對未來潛在的挑戰,最初的願景無力實現,只得無奈關停專案。

目前,專案方官網依舊可以訪問,資金可以正常提取。專案方文件、推特賬號以及中文微信群已經解散。

這次事件,暴露了DeFi以下問題:1)到底是團隊作惡還是正常駭客攻擊?2)審計過的專案是否一定安全?3)匿名專案是否值得信任?4)專案方認輸的成本低,給投資人造成的損失怎麼辦?

駭客是自己人?

PeckShield認為,這次事件有可能是團隊作惡。

比如有一個疑點是:合約還沒有準備好,為什麼要急著部署在自己的主網上呢?

“與 Alpaca Finance 相關的單一資產機槍池今早剛剛上線 Merlin Labs 主網做測試,存在漏洞的合約尚未公佈,也未提供給使用者……實施這一攻擊需要內幕資訊,由於合約的部署、上線、審計經手多人,因此內幕人士有多個可能。”

團隊作惡可能是:①核心人員主動作惡;②部分人員偷偷作惡;③部分人員與外部駭客聯手,裡應外合。

專案方在被攻擊後連夜關停專案、清空推特、清空專案wiki、解散微信群、拋售代幣等操作,似乎有理由讓人懷疑這是團隊主動作惡。

不過,這次攻擊獲利金額大約是30萬美元,Merlin Labs 在被攻擊前的TVL大約有2億美元。如果是核心團隊主動作惡,這個收益看上去沒有足夠的誘惑力。

專案方關停專案並沒有關閉專案網站,仍舊給投資人時間提取資金。這種做法似乎說明是②或者③的可能性大一些。

也有可能完全是來自外部駭客攻擊,實屬巧合。

審計的專案安全嗎?

大多數DeFi專案會找審計公司出具審計報告為專案的安全性背書。

不過,審計過的專案並非一定安全。5月份發生的BSC集中被駭客攻擊案例,其中不少專案是經區塊鏈安全公司審計過了的。

PeckShield告訴巴位元,防禦攻擊不是一個靜態的過程,它是個動態的過程。

簡而言之,需採用“事前事中事後”三段式防禦模式,在新合約上線之前要進行全面而專業的智慧合約安全審計,這一步主要是幫助協議排查已知的各類漏洞,審計並不能解決所有問題。

此外,還要注意排查與其他 DeFi 產品進行組合時的業務邏輯漏洞,避免出現跨合約的邏輯相容性漏洞;要設計一定的風控熔斷機制,引入第三方安全公司的威脅感知情報和資料態勢情報服務。

在 DeFi 安全事件發生時,能夠做到第一時間響應安全風險,及時排查封堵安全攻擊,避免造成更多的損失;並且應聯動行業各方力量,搭建一套完善的資產追蹤機制,實時監控相關虛擬貨幣的流轉情況。

在其他協議發生安全事件後,要對自己的協議進行仔細地查缺補漏,是否有相似的漏洞,是否有潛在的風險。我們認為除了需要構建安全的預言機策略,還要透徹理解協議,在預言機這一源頭上下功夫,做到從審計角度查出問題,提供可靠的鏈下解決方案,及時查缺補漏,才能減小因預言機傳達失真資料而帶來的價格操縱風險。

匿名專案是否值得信任?

根據Debank排行榜,目前排名前十的DeFi專案,幾乎都是實名的。

比如,Curve創始人Michael Egorov,和V神一樣是俄羅斯人。Aave創始人兼執行長Stani Kulechov,曾在赫爾辛基大學攻讀法律專業。Uniswap創始人 Hayden Adams畢業後第一份工作就被裁員,然後世界上少了一名青年電氣工程師多了一位DeFi開創者。

其他的像Compound(創始人Robert Leshner)、MakerDAO(創始人Rune Christensen)、Liquity(創始人Robert Lauko)也都是實名專案。Venus專案由Swipe團隊支援(目前已經改組,Swipe退出專案決策層),Swipe是Binance投資公司。

只有PancakeSwap和SushiSwap的團隊是匿名的。不過,SushiSwap的幾個核心開發者在推特還算比較活躍,在國內也有專門的中文運營社羣。

雖然區塊鏈講究去中心化、去信任,實際情況卻是,實名專案更容易贏得投資人信任。

遺憾的是,Merlin Labs是匿名專案。

專案被隨意丟棄,投資人只能認賠?

Merlin Labs在被攻擊之後採取的解決方案並未如前兩次一樣修補漏洞並且為投資人制定補償方案。相反,專案方的做法是迅速拋售代幣然後宣佈專案解散。

這種做法直接導致已經腰斬的幣價走向歸零。

(專案方拋售代幣前,MERL價格在8美元左右,拋售後跌至0.1-0.2美元)

幣價暴跌,同樣導致為專案提供流動性的LP損失慘重。

可以毫不客氣地說,專案方這樣做是極不負責任的,完全置投資者利益於不顧。

昨晚抄底的投資者成本多在6-8美元區間,一覺醒來歸零。

由於專案方是匿名的,同時專案推特登出、電報群禁言、微信群解散,受損失的投資人幾乎無處討要說法。

DeFi沒有監管,在“Code is law”的區塊鏈世界投資人除了寄希望於專案程式碼安全,還有就是靠專案方自我道德約束,一旦這兩道防線被突破,投資人似乎只能自認倒黴。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读