简析meerkat跑路事件 如何躲避DeFi野矿?

内容来自“大橙子&小同的干货铺”的知识星球,作者康纳Repeat。

1. AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换

2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。

1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock 地址,用于混淆视听

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_ SLOT, 但读取key却为ADMIN_ SLOT。即O (欧)和0 (零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象

Tellus Dao宣布预计下个月将开通交易:据Tellus网站公示,Tellus Dao社区早期成员对Tellus进行捐赠,该捐赠于UTC 1:00 PM开始,两秒内完成。Tellus DAO Dmitry Boytsov 表示,本轮捐赠将全部应用于Defi生态研发。第二轮捐赠将于UTC 1:00PM Oct 25th开始接受第二轮捐赠,十五天结束。截止后对早期捐赠者进行空投。

据了解,Tellus预计下个月将开通交易,其他板块矿池,借贷,NFT等生态板块等相继上线。

Tellus.finance是基于市场的自生自发秩序组织,打造全球范围的去中心化自治平台。[2020/10/25]

1.高度警惕任何包含proxy 方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险

2. never trust, always verify! 不要相信项目方给出的timelock“证据”, 对于未经审计的fork项目,务必逐个contract做好与原项目的diff (如果你做到了,就可以躲过meerkat的障眼法)

3.基于1更要养成良好的approve 管理意识,meerkat在跑路后仍然通过无限授权,盗取用户钱包内资产,穷凶极恶。切勿麻痹大意,你永远不知道你曾经授权过的土矿,是否包含proxy模式,是否已经替换了恶意合约!

4. timelock是安全底线,无论是HECO的LLC,还是BSC的popcornswap、meerkat,犯罪方式越发隐蔽的,但万变不离其宗,都是无timelock、假timelock。 珍爱生命,远离无锁土矿

昨天案发后几乎没有看到个人或团队有明确解析,考虑到未来模仿犯罪不可避免,索性公开信息希望做到安全教育的目的。老农务必提高自己的姿势水平,留意此类风险。最后祝大家挖矿出入平安。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

NEAR买“比特币”每天返利2%?南宁一公司吸金后关门了

南宁不少人通过广西冲发发信息科技有限公司(以下简称“冲发发公司”)投资购买“比特币”,该公司承诺每天返利2%。 然而,投资者仅仅获得起初几天的返利收益,之后该公司就不再返利,随后关门,法定代表人不接电话,公司推荐使用的App也已暂停。目前,已介入此事。 冲发发公司已关门一个多月。

DOT三个投资建议 教你玩转NFT

自今年1月以来,NFT领域呈现出前所未有的生机和活力,朋友圈、微信群、微博、Twitter、Clubhouse上关于NFT的讨论也与日俱增。根据Google Trends的数据显示,NFT的搜索热度于2月21日首次超过DeFi,3月2日首次超过ETH。毫无疑问,这是属于NFT的爆炸式春天。

屎币Vitalik:如何实现跨Rollup DEX

假设我们有两种 rollup 解决方案 A 和 B,Alice 想要用 rollup A 上一定数量的代币来换取 rollup B 上同样的代币。已经有人提出方案解决这个问题了,如果 rollup A 和 B 都是完全支持智能合约时,那么就可以去中心化地实现这个假设。

比特币交易3.9午间行情:资金还在场内 强势能否延续

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。? 据欧易OKEx的数据显示,当前BTC/USDT现货报价为53800美元,24小时涨幅为6.8%。

[0:15ms0-3:144ms