NXM:砸盤、銷號、解散社群 Merlin Lab“跑路三連”暴露了DeFi哪些問題？_MERL

拋售代幣、注銷推特、微信群解散，昨夜BSC機槍池項目MerlinLab上演一出火速“大逃亡”。

6月29日15點24分，Merlin Lab遭到黑客攻擊。據區塊鏈安全公司PeckShield分析，Merlin Lab 遭到黑客攻擊源于 MerlinStrategyAlpacaBNB 中存在的邏輯漏洞，合約誤將收益者轉賬的 BNB 作為挖礦收益，使得合約增發更多的 MERL 作為獎勵。經過重復操作，攻擊者獲利 30 萬美元。MERL 短時腰斬，從 $16.23 跌至 $6.09。

Merlin Lab在這次攻擊中反映很快，只不過這個“快”出乎大多數人的意料：

大多數沒有想到，項目方對攻擊事件的處理是關停項目。

根據項目方的說法，屢次遭受黑客攻擊之后，開發人員對項目前景不樂觀，并認為沒有更多的經驗去應對未來潛在的挑戰，最初的愿景無力實現，只得無奈關停項目。

萬卉：黑客會把NXM換成wNXM，wNXM持有者只能眼睜睜看著被砸盤:針對今晚Nexus Mutual創始人被黑客盜走800多萬美元NXM事件，Primitive Ventures創始合伙人萬卉發布微博表示，黑客會將NXM換成wNXM，wNXM持有者只能眼睜睜看著被砸盤，以下為微博原文：

NXM被黑的填坑部分我單獨發一下：再次感嘆整個Defi食物鏈的頂端，真的是黑客/科學家們。。。 黑掉Nexus Mutual的黑客不僅拿到了Huge Karp的電腦的遠程控制(呃，Karp可能用的是Windows? MacOS上會被惡意遠程控制的漏洞很少) ，為了收割Karp手上NXM還去做了Nexus Mutual的KYC (已經精心準備了很久，可見有KYC也沒啥用) 黑的過程其實比較常見，就是trick Karp去簽了一個看似正常的交易，但是實際的交易是把幣發給了自己。

因為Karp手上肯定沒有大量的wNXM而是有大量的NXM，所以必須要在內盤內完成“釣魚”的工作。然后釣魚完成后，NXM本身的價格只要跌到了MCR100%的時候，黑客必然知道無法靠Bonding curve出貨，所以非常老練的直接把拿到的NXM wrap掉，去外部砸盤。

現在NXMwNXM是個單向的流通：wNXM的持有者無法拿著wNXM去贖回NXM，原來在MCR>100%以上的時候，只要wNXM價格低于NXM本身，外盤的wNXM持有者可以贖回NXM回到內盤在Bonding Curve上賣掉。但是現在MCR=100%的時候，相當于這個口子卡死了，雖然NXM可以卡在MCR=100%的這個價格上，但是wNXM無法贖回。所以現在wNXM的持有人只有躺著被黑客砸盤，沒有任何辦法... 心疼拿著wNXM的老鐵，還有給wNXM在AMM上做市的LP。[2020/12/15 15:11:28]

目前，項目方官網依舊可以訪問，資金可以正常提取。項目方文檔、推特賬號以及中文微信群已經解散。

律師：Plustoken案涉及的數字貨幣已變現處置，無需擔心“砸盤”:北京德恒律師事務所顧問劉揚發文稱，昨天Plustoken案之所以能夠刷屏，與相關標題黨報道也有一定關系，在幣圈微信群中甚至在流傳“國家隊砸盤了”的說法，查看兩個案件的判決書發現：1.在Plustoken案二審刑事裁定書中提到：“收繳的贓物處置問題。經查，在案證據證實陳波向鹽城市局申請由其委托北京知帆科技有限公司依法出售變現機關扣押的數字貨幣，所有款項作為其退贓款。原審法院據此認定陳波退出部分款項，并對其酌情從輕處罰。”

2.在Wotoken案二審刑事裁定書中提到：“數字資產處置變現合同一份。證明案發后，被告人李某某配合機關追繳贓款贓物情況。”

上述情況說明，相關數字貨幣的贓物處置應當是：由犯罪嫌疑人向機關提出申請，和相關公司簽訂合同，委托相關公司對機關扣押的數字貨幣進行變現處置，處置的所有款項作為犯罪嫌疑人的退贓款。這就說明，案涉數字貨幣早已經變現處置，所謂“砸盤”一說則無需擔心。從涉案虛擬數字貨幣處置工作來講，司法機關在本案中的處置方式頗具亮點，也給全國司法機關提出了一條新的思路，在整個處置過程中，司法機關并未作為主體參與其中，由犯罪嫌疑人和委托第三方公司處置。[2020/11/28 22:25:18]

這次事件，暴露了DeFi以下問題：

聲音 | 火幣CEO七爺：火幣動用假幣砸盤是謠言:近日有傳聞稱，火幣內部資金出現問題，并動用假幣砸盤。對此火幣CEO七爺剛剛在微信朋友圈表示這類消息是謠言，并稱：組織傳謠的痕跡還是太明顯了。[2019/7/19]

1）到底是團隊作惡還是正常黑客攻擊？

2）審計過的項目是否一定安全？

3）匿名項目是否值得信任？

4）項目方認輸的成本低，給投資人造成的損失怎么辦？

PeckShield認為，這次事件有可能是團隊作惡。

比如有一個疑點是：合約還沒有準備好，為什么要急著部署在自己的主網上呢？

團隊作惡可能是：①核心人員主動作惡；②部分人員偷偷作惡；③部分人員與外部黑客聯手，里應外合。

聲音 | BTG官方：團隊不存在拋幣砸盤的可能性:對于BTG創始人之一廖翔朋友圈相關的傳言持續發酵。官方于12月5日發表聲明：“BTG是一個去中心化的組織，不存在CEO與個人決策。廖翔曾是BTG的6個核心團隊成員之一，他退出日常管理后將以顧問的形式繼續為BTG服務。BTG有嚴格的財務管理體系，礦工捐贈的10萬個BTG只能根據時間分批解鎖，交易在鏈上可查，不存在拋幣砸盤的可能性。”[2018/12/5]

項目方在被攻擊后連夜關停項目、清空推特、清空項目wiki、解散微信群、拋售代幣等操作，似乎有理由讓人懷疑這是團隊主動作惡。

不過，這次攻擊獲利金額大約是30萬美元，Merlin Labs 在被攻擊前的TVL大約有2億美元。如果是核心團隊主動作惡，這個收益看上去沒有足夠的誘惑力。

現場 | Coinscious聯合創始人 Tom Bao：數字資產投資領域存在惡意砸盤等問題 ?:金色財經現場報道，2018年8月11日，在2018紛智金融科技峰會（香港）上，Coinscious聯合創始人及首席執行官Tom Bao指出：目前數字資產投資領域存在諸如：惡意砸盤、暴力拉盤；小道消息漫天、缺乏真正有用信息；安全事件頻發；多交易所賬戶、多錢包管理困難；缺乏大數據和分析幫手；欠缺專業理財工具等問題。全球目前有300+數字貨幣投資基金，2017年，全球已經誕生了100+數字貨幣基金，同一時間內，共有約700家對沖基金誕生；2018年，將有近100+對沖基金成立，數字貨幣基金總資產體量今年或可翻倍，傳統對沖基金也在資產中提高數字貨幣比重。[2018/8/11]

項目方關停項目并沒有關閉項目網站，仍舊給投資人時間提取資金。這種做法似乎說明是②或者③的可能性大一些。

也有可能完全是來自外部黑客攻擊，實屬巧合。

大多數DeFi項目會找審計公司出具審計報告為項目的安全性背書。

不過，審計過的項目并非一定安全。5月份發生的BSC集中被黑客攻擊案例，其中不少項目是經區塊鏈安全公司審計過了的。

PeckShield告訴巴比特，防御攻擊不是一個靜態的過程，它是個動態的過程。

簡而言之，需采用“事前事中事后”三段式防御模式，在新合約上線之前要進行全面而專業的智能合約安全審計，這一步主要是幫助協議排查已知的各類漏洞，審計并不能解決所有問題。

此外，還要注意排查與其他 DeFi 產品進行組合時的業務邏輯漏洞，避免出現跨合約的邏輯兼容性漏洞；要設計一定的風控熔斷機制，引入第三方安全公司的威脅感知情報和數據態勢情報服務。

在 DeFi 安全事件發生時，能夠做到第一時間響應安全風險，及時排查封堵安全攻擊，避免造成更多的損失；并且應聯動行業各方力量，搭建一套完善的資產追蹤機制，實時監控相關虛擬貨幣的流轉情況。

在其他協議發生安全事件后，要對自己的協議進行仔細地查缺補漏，是否有相似的漏洞，是否有潛在的風險。我們認為除了需要構建安全的預言機策略，還要透徹理解協議，在預言機這一源頭上下功夫，做到從審計角度查出問題，提供可靠的鏈下解決方案，及時查缺補漏，才能減小因預言機傳達失真數據而帶來的價格操縱風險。

根據Debank排行榜，目前排名前十的DeFi項目，幾乎都是實名的。

比如，Curve創始人Michael Egorov，和V神一樣是俄羅斯人。Aave創始人兼首席執行官Stani Kulechov，曾在赫爾辛基大學攻讀法律專業。Uniswap創始人 Hayden Adams畢業后第一份工作就被裁員，然后世界上少了一名青年電氣工程師多了一位DeFi開創者。

其他的像Compound（創始人Robert Leshner）、MakerDAO（創始人Rune Christensen）、Liquity（創始人Robert Lauko）也都是實名項目。Venus項目由Swipe團隊支持（目前已經改組，Swipe退出項目決策層），Swipe是Binance投資公司。

只有PancakeSwap和SushiSwap的團隊是匿名的。不過，SushiSwap的幾個核心開發者在推特還算比較活躍，在國內也有專門的中文運營社區。

雖然區塊鏈講究去中心化、去信任，實際情況卻是，實名項目更容易贏得投資人信任。

遺憾的是，Merlin Labs是匿名項目。

Merlin Labs在被攻擊之后采取的解決方案并未如前兩次一樣修補漏洞并且為投資人制定補償方案。相反，項目方的做法是迅速拋售代幣然后宣布項目解散。

這種做法直接導致已經腰斬的幣價走向歸零。

（項目方拋售代幣前，MERL價格在8美元左右，拋售后跌至0.1-0.2美元）

幣價暴跌，同樣導致為項目提供流動性的LP損失慘重。

可以毫不客氣地說，項目方這樣做是極不負責任的，完全置投資者利益于不顧。

昨晚抄底的投資者成本多在6-8美元區間，一覺醒來歸零。

由于項目方是匿名的，同時項目推特注銷、電報群禁言、微信群解散，受損失的投資人幾乎無處討要說法。

DeFi沒有監管，在“Code is law”的區塊鏈世界投資人除了寄希望于項目代碼安全，還有就是靠項目方自我道德約束，一旦這兩道防線被突破，投資人似乎只能自認倒霉。

Tags：NXMwNXMMERLMERArmor NXMwNXM價格MERL價格GROOMER

DYDX