简析meerkat跑路事件 如何躲避DeFi野矿?

内容来自“大橙子&小同的干货铺”的知识星球,作者康纳Repeat。

1. AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换

2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。

1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock 地址,用于混淆视听

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_ SLOT, 但读取key却为ADMIN_ SLOT。即O (欧)和0 (零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象

花旗董事长:花旗正为客户代理加密货币交易:花旗董事长Dugan称,花旗正在为客户代理加密货币交易;花旗的资产负债表上没有加密货币资产。此外,Dugan表示,稳定币应该受到银行监管。 (金十)[2021/10/12 20:21:39]

1.高度警惕任何包含proxy 方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险

2. never trust, always verify! 不要相信项目方给出的timelock“证据”, 对于未经审计的fork项目,务必逐个contract做好与原项目的diff (如果你做到了,就可以躲过meerkat的障眼法)

3.基于1更要养成良好的approve 管理意识,meerkat在跑路后仍然通过无限授权,盗取用户钱包内资产,穷凶极恶。切勿麻痹大意,你永远不知道你曾经授权过的土矿,是否包含proxy模式,是否已经替换了恶意合约!

4. timelock是安全底线,无论是HECO的LLC,还是BSC的popcornswap、meerkat,犯罪方式越发隐蔽的,但万变不离其宗,都是无timelock、假timelock。 珍爱生命,远离无锁土矿

昨天案发后几乎没有看到个人或团队有明确解析,考虑到未来模仿犯罪不可避免,索性公开信息希望做到安全教育的目的。老农务必提高自己的姿势水平,留意此类风险。最后祝大家挖矿出入平安。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

BNB详解中心化交易所永续合约机制:问题、发展和特点

理解加密货币永续合约的特点、关键机制与潜在问题。 加密货币市场衍生品主要包括杠杆交易、期货合约、期权合约和杠杆代币。其中,永续合约是加密货币市场的一种创新型期货合约,并迅速发展成当前主流衍生品。 永续合约和交割合约都属于期货合约,与交割合约不同的是,永续合约并没有到期日或交割日,交易者可以根据实际需求进行长期持有,以图获得更高的收益。

XMR美国散户投资者更看好Cardano而非比特币 比特币鲸鱼正大举“逢低买入”

摘要:加密交易经纪商Voyager Digital发布的投资者情绪调查报告显示,与比特币相比,美国散户投资者更看好Cardano(ADA)。与此同时,比特币鲸鱼正大举“逢低买入”。 调查发现,接受调查的投资者中有31.8%称自己“最看好”Cardano,相比之下,22.2%的人看好比特币。第三位和第四位是以太坊和波卡,分别为12.2%和6.3%。

欧易交易所观察:数字人民币红包给成都带来了什么?

一场热闹的数字人民币红包大戏,随着中签揭晓,逐渐回归平静。首次尝试的背后,给成都留下了什么?带来怎样的思考? 热纪录 多个纪录凸显活动“广度”,一个现象体现城市“温度” 成都在数字人民币红包试点中创下多个全国纪录。从发放金额来看,成都发放4000万元数字人民币红包,系单次金额最高;从红包数量来看,20万份红包也创造了单次红包数量最多的纪录。

[0:0ms0-1:796ms