MEE:Meerkat Finance跑路事件分析：上線不到1天就攜款跑路 3000萬美金被卷走_Qitmeer

事件概覽

北京時間2021年3月4日，根據輿情監測，BSC生態DeFi項目Meerkat?Finance疑似跑路，其自稱金庫合約遭遇到黑客攻擊，黑客利用漏洞盜取了金庫中的全部資金。目前該項目網站已經無法打開。

原文鏈接如下：

https://www.bishijie.com/kuaixun/909558.html

成都鏈安安全團隊第一時間針對該事件啟動安全響應，針對用戶攻擊地址

進行跟蹤。經過跟蹤攻擊者地址，我們發現，攻擊者分別地一次性地將大量資金進行轉出，如圖1所示。盡管官方自稱是遭遇了黑客攻擊，但根據我們的分析結果，基本能夠斷定Meerkat?Finance項目方已經跑路。

Meebits系列NFT 24小時交易額突破2300萬美元，增幅超2900%:金色財經消息，據NFTGo.io數據顯示，Meebits系列NFT24小時交易額達2306.9萬美元，增幅達2938.06%。截止發稿時，該系列NFT地板價為5.4ETH，24小時漲幅20.84%。[2022/3/19 14:06:24]

圖1

Pmeer與ZG達成合作 將于近期上線交易:據官方消息，Pmeer宣布與ZG達成合作，并將于近期上線ZG交易。雙方將從社群流量、線上活動、媒體宣發等方面進行合作，致力于打造有實際落地的區塊鏈項目。

Pmeer是Qitmeer Medina Network 的代幣，無預挖，所有代幣全部由社區POW挖礦產生。Qitmeer是以Block DAG技術為支撐的公鏈，也是專注普惠金融和倫理金融的公鏈。Qitmeer主網上線后，Pmeer將全部映射至主網。

ZG是一家由比特幣中國戰略投資的全球數字資產交易平臺，全球交易所綜合排名前二十。其總部設立于新加坡，并同時在韓國、日本、美國等國家設立了辦事處。[2020/3/16]

圖2

公告 | Qitmeer公開測試網已運行50天 整體算力水平約300kGPS:據官方消息，自2019年12月30日下午16:00 Medina Network上線以來，到2020年2月18日，Qitmeer公開測試網——Medina Network已整整運行了50天。50天以來的運行情況相對穩定。整體穩定算力水平在300kGPS左右，長期穩定的全節點個數至少有40個，當前出塊量已超過156000個塊，產幣量超過1880萬PMEER，占測試網總幣量約9.4%。當前DAG網絡的整體膨脹率約為4.79%，主鏈平均出塊時間為29.94秒，與設定值30秒吻合。當前測試網代幣PMEER市價為0.0373USDT。

Qitmeer Network是一條基于PoW 共識算法的 BlockDAG 網絡，是融合經典 UTXO 模型和前沿 DAG 技術的一次探索，采用GPU顯卡挖礦模式。[2020/2/21]

事件分析

聲音 | Tuur Demeester： 51%攻擊似乎只是時間問題:數字貨幣經濟學家Tuur Demeester在推特上表示，目前BCH的市值僅為比特幣的3.4%，51%的攻擊似乎只是時間問題，除非他們再次用硬分叉來改變PoW算法。[2018/12/6]

緊接著，我們開始針對轉移盜竊資金的兩筆交易進行分析，發現攻擊者直接通過調用金庫合約的一個函數，將金庫合約中的資金全部轉走；而金庫合約使用的是可升級的代理合約，也就是實際邏輯是可以進行更改的，其權限在項目方。

圖3

圖4

根據記錄還可得出，項目方在WBNB金庫盜竊中，代理合約的實際邏輯還是正常的金庫合約，在攻擊時才將合約邏輯替換成存在后門的合約。但是在盜取BUSD的交易中，項目方索性扯下了自己的“遮羞布”，一開始就部署的是存在后門的合約。如圖5所示：

圖5

成都鏈安安全團隊發現兩次攻擊所用的后門合約都是同一套代碼，我們在對其中一個合約進行反編譯時分析發現，其就是一個將代幣進行轉移的函數。如圖6所示：

圖6

最終，我們得出結論，本次事件顯然是項目方預謀的釣魚事件，從一開始就是奔著跑路去的；而在本次事件中，代碼層的罪魁禍首就是“可升級的代理合約”給予了項目方過大的權限，導致項目方盜取用戶資金，如同探囊取物。

安全建議

成都鏈安安全團隊認為，對于“可升級的代理合約”，在審計角度來看，為了保證項目的可維護性和迭代可能，保留這類權限并不是不可取的。即使在日常的安全審計工作中，我們也不能要求項目方取消這類權限。但權力是一把雙刃劍，是好是壞則取決于使用它的人。在成都鏈安出具的安全審計報告中，我們一直以來都有對此類權限加以說明。同時，在這里有必要提醒廣大用戶選擇投資項目時，一定要詳細閱讀安全審計報告中的細節描述，特別是我們給出的潛在風險提示及安全建議。

最后，需要引起注意到是，我們監測到攻擊者在使用transferFrom函數盜取用戶錢包內已授權給金庫合約的資金，目前已有用戶錢包內的資金被盜16萬BUSD。

在此，成都鏈安安全團隊特別提醒各位已參與此項目的用戶，立即取消對該項目地址的授權，或立即轉移錢包內的資金，避免造成二次損失。

BSC授權檢查地址如下：

https://bscscan.com/tokenapprovalchecker

Tags：MEEMEEREERQitmeermeer幣的前景PMEERPMEER價格Qitmeer Network

波場