6月29日15點24分,BSC 機槍池項目Merlinlab代幣MERL價格閃崩,3分鐘內從16美元跌至8美元,跌幅50%。
項目方電報群開始躁動,部分人認為是遭到黑客攻擊增發代幣然後砸盤造成價格暴跌。不過,項目方管理員解釋是大戶砸盤,沒有增發代幣。
16:28,區塊鏈安全公司Peckshiel發出預警,認為Merlinlab疑似遭遇攻擊。推特KOL“John Dough”補充說黑客已經將價值154個ETH的獲利資金通過跨鏈橋Anyswap轉移到以太坊逃跑了。
(攻擊合約哈希:https://bscscan.com/tx/0x3be6c0ab07d7fa03bca44b0d0aa4093e67dca2747278cf2951740f2cd8db5a0f
轉移資金哈希:https://bscscan.com/tx/0xbb58a9001b70bf468f241d5af0bd63eb26015af88f65c55c0cbdd90f9be4a914)
17:21,Peckshiel初步得出結論,應該是MerlinStrategyAlpacaBNB的一個BUG被利用了。
項目方反應也不慢,16:55開始調查着手調查背後原因。
17:24,項目方得出初步結論,是經濟規則漏洞被利用了:
Merlin 開發團隊今天早上已將 Alpaca 單一資產保險庫部署到主網上進行測試。這個保險庫不應該公開可用或準備向公眾發布。
通過智能合約,黑客將 0.1WBNB 存入金庫,然後手動將 1000BNB 轉入合約以欺騙合約認為它已收到 1000BNB 的獎勵,從而導致鑄幣廠產生 MERL 獎勵。
簡單說,估計是Merlinlab想上新功能,早上直接拉了一個合約部署到主網測試,未經過嚴密測試被黑客抓住了機會。由於梅林的激勵是按收到的bnb來計算的,所以導致了一次大量增發。
項目方此次疏忽,實屬不應該。
部分投資人表示,這個保險庫不應該公開可用或準備向公眾發布。
BSC社區KOL土澳大獅兄認為,“團隊公布了這次被黑的原因,有點好笑,合約被黑客手動欺騙了。具體的細節團隊後續會公布,這也提醒其它項目方需要謹慎,黑客不僅僅會通過bug來攻擊,更會利用經濟規則的漏洞來進行攻擊。”
17:38,Peckshiel查出了發生攻擊的合約代碼:
團隊作惡?
不過,也有部分投資人懷疑是團隊作惡。
懷疑的理由是:從更新代碼、上線、攻擊增發、收割,幾個小時內一氣呵成。不是內部人都說不過去。
“合約早上發布到現在,不是項目方的話有哪個黑客能一下就找出邏輯漏洞進行攻擊。再加上只是一個部署到主網的測試功能的合約,項目方才最清楚。”
還有人認為,“故意增發,行情不好,只能割礦工了。”
以上只是猜測,並沒有直接證據。
信心比黃金更重要
實際上,這是項目方遭遇的第三次攻擊,前兩次攻擊發生在5月26日,黑客從中獲利120萬美元。MERL代幣價格在攻擊中從約40美元腰斬至20美元。
時隔1個月,遭遇第三次攻擊,這對仍舊堅持在上面耕種的投資人的信心打擊無疑是巨大的。
“信心比黃金更重要”,這句話放在DeFi領域再合適不過。一旦投資人對項目失去信心,再好的經濟模型也難以發揮作用。
自從BSC曾經最大的機槍池PancakeBunny遭遇攻擊之後,代幣價格一蹶不振,TVL驟降,大量DeFi農民將資金遷往他處,一去不回。
PancakeBunny將種地收益的30%換成Bunny,Bunny的分發每產生一定利潤的BNB按照某個匯率折算成Bunny,這種分發機制將項目與BNB強綁定,存在一定的價值支撐。在5月份的黑客攻擊之後,PancakeBunny將分發匯率改為1BNB=15Bunny,按照BNB目前300美元的價格,Bunny的價格應該是20美元。然而目前Bunny的價格是低於這個數字的。
PancakeBunny最輝煌的時候鎖倉70億美元,將以太坊上最大的機槍池Yearn Finance遠遠拋在身後。如今,PancakeBunny的TVL只有不到7億美元,Yearn Finance的TVL超過40億美元。
Merlinlab作為PancakeBunny的仿盤,是否會如前輩一樣被市場拋棄抑或走出一條自救道路,拭目以待。
本文鏈接:https://www.8btc.com/article/6655015
轉載請註明文章出處