¿Podría el ataque a Merlin Labs ser una operación interna?

El 28 de junio, el agregador de ingresos Merlin Lab fue pirateado.

El personal de seguridad de PeckShield descubrió que el agregador de ingresos Merlin Lab fue pirateado debido a una laguna lógica en MerlinStrategyAlpacaBNB. El contrato usó erróneamente el BNB transferido por el beneficiario como ingreso minero, lo que hizo que el contrato emitiera más MERL como recompensa.

MERL se redujo brevemente a la mitad, cayendo de $ 16.23 a $ 6.09.

Actualmente hay 69 006 transacciones no confirmadas en toda la red de Bitcoin: los datos de BTC.com muestran que el número actual de transacciones no confirmadas en toda la red de Bitcoin es de 69 006, la potencia informática total de la red es de 149,55 EH/s y la tasa de transacción de 24 horas es de 3,48 transacciones/s, la dificultad actual de toda la red es de 25,05 T, y se predice que la próxima dificultad aumentará en un 0,67 % a 25,22 T, y quedan 8 días y 11 horas antes del ajuste. [2021/5/21 22:30:28]

Reflexer Labs: RAI por valor de 10 millones de dólares ya en el mercado secundario de préstamos: el equipo de desarrollo de RAI de activos estables Reflexer Labs anunció un hito: RAI por valor de 10 millones de dólares se encuentra ahora en el mercado de préstamos secundarios. Reflexer Labs planea lanzar una campaña la próxima semana para los depositantes de RAI sobre el Protocolo Ruler. [2021/4/20 20:40:49]

Sin embargo, el MERL que se muestra en el sitio web oficial de Merlin Labs no fluctúa mucho.

Este es un juego entre el protocolo y el atacante. El grupo inteligente de un solo activo relacionado con Alpaca Finance se acaba de lanzar en la red principal de Merlin Labs para realizar pruebas esta mañana, y los contratos con vulnerabilidades aún no se han anunciado ni se han proporcionado a los usuarios. La única cuenta que se muestra actualmente en el contrato vulnerable es el EOA del atacante, ¿podría ser una operación interna descarada?

Si el contrato aún no está listo, ¿por qué apresurarse a implementarlo en su propia red principal?

PeckShield describe brevemente el proceso de ataque:

El atacante primero pone 0.1 WBNB en el grupo de ametralladoras;

Inmediatamente después, el atacante transfirió 546,71 BNB al contrato, haciendo pensar al contrato que recibió 546,71 BNB;

Cuando la estrategia calcula el ingreso, el contrato toma erróneamente el BNB transferido por el beneficiario como el ingreso minero, lo que hace que el contrato emita más $MERL como recompensa. Tras repetir la operación, el atacante obtuvo una ganancia de 300.000 dólares.

La línea de tiempo anterior muestra que la implementación de este ataque requiere información privilegiada. Dado que la implementación, el lanzamiento y la auditoría del contrato han sido manejados por muchas personas, existen múltiples posibilidades para los internos.

Este no es el primer incidente de seguridad en el que surgen sospechas internas. ¿Cuánto durará la era de los hackers anónimos?

Dado que los atacantes potenciales tienen pistas que seguir, es más fácil solucionar problemas y rastrear listas potenciales y, en este caso, el campo de búsqueda es aún más estrecho de lo habitual.

DeFi aún se está desarrollando, y en los últimos meses hemos visto cómo la tasa de crecimiento se ralentiza, los desarrolladores se ven atrapados en una competencia más intensa y los infiltrados corruptos ayudan a los atacantes a obtener ganancias debajo de la mesa.

¿Cuánto tiempo puede durar la magia de la capa anónima?

Tags：

Huobi App Download