安全生产简析下meerkat跑路事件
一、核心问题
1.AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换
2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。
观点:中国的法律环境中基于公链的数字藏品有四大潜在风险:3月26日消息,数字藏品的全球趋势与中国创新的直播中,星图比特创始人张炯在《国产公链数字藏品的合规发展》主题分享中称,基于公链的数字藏品有三个优势,用户对数字藏品的真实处置权、真实可交割及透明真实感。而基于联盟链的数字藏品有两大优势,包括容易获得政府监管部门的理解,更容易形成企业与企业之间合作的信任。目前,中国的法律合规环境中公链数字藏品有一些潜在风险。第一,如何让国内用户在没有数字货币的前提下,通过人民币购买数字藏品NFT。第二,用户用人民币购买数字藏品后,可能再卖成数字货币,因而数字藏品需要完成与数字货币的切割,否则可能沦为OTC渠道。第三,人为操作会造成数字藏品市场波动带给普通用户的经济风险。第四,数字资产的托管问题。此外,张炯认为,基于联盟链的数字藏品存在停止运营的风险等。(8btc)[2022/3/26 14:19:31]
二、现场还原(以BUSD池为例)?
韩媒:第一季度韩国四大加密货币交易所交易额达1.33万亿美元:以今年2月底为准,韩国四大加密货币交易所Bithumb、Coinone、Upbit和Korbit的实名认证账户数量达2501769万个。仅今年第一季度,与Upbit合作的韩国银行就新开设了180万个账户。加密货币交易量正在剧增。本月24日,仅在韩国市场一天的交易额就达28万亿韩元(约251亿美元)。这已经超过了韩国科斯达克指数(KOSDAQ)交易额(以23日为准15.6533万亿韩元,约140亿美元)。今年第一季度,韩国四大加密货币交易所的交易金额达1486.2770万亿韩元(约1.33万亿美元)。(韩国中央日报)[2021/4/26 20:57:43]
1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock地址,用于混淆视听
Messari:按交易量计算Uniswap已是第四大加密货币交易平台:加密数据网站Messari发布推特表示,按交易量计算,Uniswap现在已经是第四大加密货币交易平台了。根据欧科云链OKLink数据显示,Uniswap交易平台(包括V1和V2版本)过去24小时总交易量为3.04亿美元。[2020/10/2]
2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61Cproxy合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_SLOT,但读取key却为ADMIN_SLOT。即O(欧)和0(零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象
三、结论和经验
1.高度警惕任何包含proxy方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险
2.nevertrust,alwaysverify!不要相信项目方给出的timelock“证据”,对于未经审计的fork项目,务必逐个contract做好与原项目的diff(如果你做到了,就可以躲过meerkat的障眼法)
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。