16:28,区块链安全公司Peckshiel发出预警,认为Merlinlab疑似遭遇攻击。推特KOL“John Dough”补充说黑客已经将价值154个ETH的获利资金通过跨链桥Anyswap转移到以太坊逃跑了。
(攻击合约哈希:https://bscscan.com/tx/0x3be6c0ab07d7fa03bca44b0d0aa4093e67dca2747278cf2951740f2cd8db5a0f
转移资金哈希:https://bscscan.com/tx/0xbb58a9001b70bf468f241d5af0bd63eb26015af88f65c55c0cbdd90f9be4a914)
17:21,Peckshiel初步得出结论,应该是MerlinStrategyAlpacaBNB的一个BUG被利用了。
项目方反应也不慢,16:55开始调查着手调查背后原因。
17:24,项目方得出初步结论,是经济规则漏洞被利用了:
Merlin 开发团队今天早上已将 Alpaca 单一资产保险库部署到主网上进行测试。这个保险库不应该公开可用或准备向公众发布。
通过智能合约,黑客将 0.1WBNB 存入金库,然后手动将 1000BNB 转入合约以欺骗合约认为它已收到 1000BNB 的奖励,从而导致铸币厂产生 MERL 奖励。
简单说,估计是Merlinlab想上新功能,早上直接拉了一个合约部署到主网测试,未经过严密测试被黑客抓住了机会。由于梅林的激励是按收到的bnb来计算的,所以导致了一次大量增发。
项目方此次疏忽,实属不应该。
部分投资人表示,这个保险库不应该公开可用或准备向公众发布。
BSC社区KOL土澳大狮兄认为,“团队公布了这次被黑的原因,有点好笑,合约被黑客手动欺骗了。具体的细节团队后续会公布,这也提醒其它项目方需要谨慎,黑客不仅仅会通过bug来攻击,更会利用经济规则的漏洞来进行攻击。”
17:38,Peckshiel查出了发生攻击的合约代码:
团队作恶?
不过,也有部分投资人怀疑是团队作恶。
怀疑的理由是:从更新代码、上线、攻击增发、收割,几个小时内一气呵成。不是内部人都说不过去。
“合约早上发布到现在,不是项目方的话有哪个黑客能一下就找出逻辑漏洞进行攻击。再加上只是一个部署到主网的测试功能的合约,项目方才最清楚。”
还有人认为,“故意增发,行情不好,只能割矿工了。”
以上只是猜测,并没有直接证据。
信心比黄金更重要
实际上,这是项目方遭遇的第三次攻击,前两次攻击发生在5月26日,黑客从中获利120万美元。MERL代币价格在攻击中从约40美元腰斩至20美元。
时隔1个月,遭遇第三次攻击,这对仍旧坚持在上面耕种的投资人的信心打击无疑是巨大的。
“信心比黄金更重要”,这句话放在DeFi领域再合适不过。一旦投资人对项目失去信心,再好的经济模型也难以发挥作用。
自从BSC曾经最大的机枪池PancakeBunny遭遇攻击之后,代币价格一蹶不振,TVL骤降,大量DeFi农民将资金迁往他处,一去不回。
PancakeBunny将种地收益的30%换成Bunny,Bunny的分发每产生一定利润的BNB按照某个汇率折算成Bunny,这种分发机制将项目与BNB强绑定,存在一定的价值支撑。在5月份的黑客攻击之后,PancakeBunny将分发汇率改为1BNB=15Bunny,按照BNB目前300美元的价格,Bunny的价格应该是20美元。然而目前Bunny的价格是低于这个数字的。
PancakeBunny最辉煌的时候锁仓70亿美元,将以太坊上最大的机枪池Yearn Finance远远抛在身后。如今,PancakeBunny的TVL只有不到7亿美元,Yearn Finance的TVL超过40亿美元。
Merlinlab作为PancakeBunny的仿盘,是否会如前辈一样被市场抛弃抑或走出一条自救道路,拭目以待。