MER:砸盘、销号、解散社群 Merlin Lab“跑路三连”暴露了DeFi哪些问题？

抛售代币、注销推特、微信群解散，昨夜BSC机池项目MerlinLab上演一出火速“大逃亡”。

6月29日15点24分，MerlinLab遭到黑客攻击。据区块链安全公司PeckShield分析，MerlinLab遭到黑客攻击源于MerlinStrategyAlpacaBNB中存在的逻辑漏洞，合约误将收益者转账的BNB作为挖矿收益，使得合约增发更多的MERL作为奖励。经过重复操作，攻击者获利30万美元。MERL短时腰斩，从$16.23跌至$6.09。

MerlinLab在这次攻击中反映很快，只不过这个“快”出乎大多数人的意料：

16:54，项目方开始着手调查此事。

17:24，项目方得出初步结论，是经济规则漏洞被利用了。

23:27，宣布关闭项目，通知用户停止存款并及时提取资金。

30日零点26分，项目方开始抛售代币。

Coinbase BTC现货主力市价大量卖出砸盘，OKEx BTC现货主力持续委托买进:AICoin数据显示：昨天05:00-17:25，Coinbase频繁规模出现大量大额市价卖出单，一共有 347 笔，共计 5353 BTC，卖出均价 51980 美元；集中成交时段：4月22日10:15分前后及4月23日02:15分前后；

而同时段，OKEx BTC/USDT则成交了大量大额委托买单，一共有 62 笔，共计 5414 BTC，买入均价 52974 美元；集中成交时段：4月22日8点前后、4月23日2点及4月23日9点前后。[2021/4/23 20:51:42]

大多数没有想到，项目方对攻击事件的处理是关停项目。

根据项目方的说法，屡次遭受黑客攻击之后，开发人员对项目前景不乐观，并认为没有更多的经验去应对未来潜在的挑战，最初的愿景无力实现，只得无奈关停项目。

目前，项目方官网依旧可以访问，资金可以正常提取。项目方文档、推特账号以及中文微信群已经解散。

狗狗币创始人Billy Markus：狗狗币真正价值不是拉盘砸盘，而是带给世界的“正能量”:狗狗币创始人之一Billy Markus近日在 Reddit 的狗狗币板块，为所有狗狗币爱好者写了一封信，在信中，他说自己在 2015 年已经把所有狗狗币都卖了。同时他更强调狗狗币真正的价值不是拉盘砸盘，而是带给世界的“正能量”。Billy Markus在信中说：“拉盘、砸盘、炒作什么的，毫无价值，本来世界已经很惨了，这些行为只能带来更负面的影响。作为创始人，在过去的 7 年中我已经看过很多东西了，我并不生气，只是感到失望。喜悦、善良、学习、给予、同理心、乐趣、社区、灵感、创造力、慷慨等等，这些因素的存在让我觉得狗狗币值得。如果社区体现了这些东西，那就是真正的价值。”[2021/2/13 19:40:03]

这次事件，暴露了DeFi以下问题：

1）到底是团队作恶还是正常黑客攻击？

2）审计过的项目是否一定安全？

BM：从不拉盘或砸盘EOS DPoS比POW更好:今日，推特用户@Ric Burton指责BM不负责任地离开Block.one，对此，BM表示“如果我把赚钱看得比其他任何事情都重要，我就会留在Block.one。有人问过我的意见，我告诉他们我不知道如何对EOS进行估值，这就是为什么我使用了市场价格发现机制。我只谈过科技，从不拉盘或砸盘。代码清楚地发挥作用。没有人在‘逃避’。”随后，该用户质疑“DPoS完全失败了，它被极少数人控制着”，BM回复称：“DPoS比POW更好。也就是说，DPoS在出售时因使网络稳定且运行正常而知名。关于DPoS的投诉是无关紧要的，如果EOS不是DPOS，那么人们会声称我们没有兑现承诺。”[2021/2/12 19:35:22]

3）匿名项目是否值得信任？

4）项目方认输的成本低，给投资人造成的损失怎么办？

黑客是自己人？

PeckShield认为，这次事件有可能是团队作恶。

律师：Plustoken案涉及的数字货币已变现处置，无需担心“砸盘”:北京德恒律师事务所顾问刘扬发文称，昨天Plustoken案之所以能够刷屏，与相关标题党报道也有一定关系，在币圈微信群中甚至在流传“国家队砸盘了”的说法，查看两个案件的判决书发现：1.在Plustoken案二审刑事裁定书中提到：“收缴的赃物处置问题。经查，在案证据证实陈波向盐城市局申请由其委托北京知帆科技有限公司依法出售变现机关扣押的数字货币，所有款项作为其退赃款。原审法院据此认定陈波退出部分款项，并对其酌情从轻处罚。”

2.在Wotoken案二审刑事裁定书中提到：“数字资产处置变现合同一份。证明案发后，被告人李某某配合机关追缴赃款赃物情况。”

上述情况说明，相关数字货币的赃物处置应当是：由犯罪嫌疑人向机关提出申请，和相关公司签订合同，委托相关公司对机关扣押的数字货币进行变现处置，处置的所有款项作为犯罪嫌疑人的退赃款。这就说明，案涉数字货币早已经变现处置，所谓“砸盘”一说则无需担心。从涉案虚拟数字货币处置工作来讲，司法机关在本案中的处置方式颇具亮点，也给全国司法机关提出了一条新的思路，在整个处置过程中，司法机关并未作为主体参与其中，由犯罪嫌疑人和委托第三方公司处置。[2020/11/28 22:25:18]

比如有一个疑点是：合约还没有准备好，为什么要急着部署在自己的主网上呢？

分析 | 中国大户砸盘或难主导市场:AKG-Wages认为：市场阴跌模式持续，如下市场行为值得投资者重点关注：

1.USDT和USD平台成交量的分化，以Coinbase为代表性的USD平台成交量依然低迷，以币安为代表的USDT平台交易活跃，也是目前市场抛压的聚集地（中国大户终于在比特币上硬气一回，可惜是砸盘方面）。

2.技术分析角度，目前已经在4H级别第二次形成底背离，但是目前是“弱势底背离”，暂时不做入场参考点。

3.此处有小转大的风险，跌破8400-8500的支撑带作为“小转大”成功的标志，如果失败，价格将短期触底。（价格参考Coinbase）

关键点位提示：

8650/8850构成日内关键压力位；

8600-8500构成日内关键支撑位。[2019/11/15]

“与AlpacaFinance相关的单一资产机池今早刚刚上线MerlinLabs主网做测试，存在漏洞的合约尚未公布，也未提供给用户……实施这一攻击需要内幕信息，由于合约的部署、上线、审计经手多人，因此内幕人士有多个可能。”

团队作恶可能是：①核心人员主动作恶；②部分人员偷偷作恶；③部分人员与外部黑客联手，里应外合。

项目方在被攻击后连夜关停项目、清空推特、清空项目wiki、解散微信群、抛售代币等操作，似乎有理由让人怀疑这是团队主动作恶。

不过，这次攻击获利金额大约是30万美元，MerlinLabs在被攻击前的TVL大约有2亿美元。如果是核心团队主动作恶，这个收益看上去没有足够的诱惑力。

项目方关停项目并没有关闭项目网站，仍旧给投资人时间提取资金。这种做法似乎说明是②或者③的可能性大一些。

也有可能完全是来自外部黑客攻击，实属巧合。

审计的项目安全吗？

大多数DeFi项目会找审计公司出具审计报告为项目的安全性背书。

不过，审计过的项目并非一定安全。5月份发生的BSC集中被黑客攻击案例，其中不少项目是经区块链安全公司审计过了的。

PeckShield告诉巴比特，防御攻击不是一个静态的过程，它是个动态的过程。

简而言之，需采用“事前事中事后”三段式防御模式，在新合约上线之前要进行全面而专业的智能合约安全审计，这一步主要是帮助协议排查已知的各类漏洞，审计并不能解决所有问题。

此外，还要注意排查与其他DeFi产品进行组合时的业务逻辑漏洞，避免出现跨合约的逻辑兼容性漏洞；要设计一定的风控熔断机制，引入第三方安全公司的威胁感知情报和数据态势情报服务。

在DeFi安全事件发生时，能够做到第一时间响应安全风险，及时排查封堵安全攻击，避免造成更多的损失；并且应联动行业各方力量，搭建一套完善的资产追踪机制，实时监控相关虚拟货币的流转情况。

在其他协议发生安全事件后，要对自己的协议进行仔细地查缺补漏，是否有相似的漏洞，是否有潜在的风险。我们认为除了需要构建安全的预言机策略，还要透彻理解协议，在预言机这一源头上下功夫，做到从审计角度查出问题，提供可靠的链下解决方案，及时查缺补漏，才能减小因预言机传达失真数据而带来的价格操纵风险。

匿名项目是否值得信任？

根据Debank排行榜，目前排名前十的DeFi项目，几乎都是实名的。

比如，Curve创始人MichaelEgorov，和V神一样是俄罗斯人。Aave创始人兼首席执行官StaniKulechov，曾在赫尔辛基大学攻读法律专业。Uniswap创始人HaydenAdams毕业后第一份工作就被裁员，然后世界上少了一名青年电气工程师多了一位DeFi开创者。

其他的像Compound、MakerDAO、Liquity也都是实名项目。Venus项目由Swipe团队支持，Swipe是Binance投资公司。

只有PancakeSwap和SushiSwap的团队是匿名的。不过，SushiSwap的几个核心开发者在推特还算比较活跃，在国内也有专门的中文运营社区。

虽然区块链讲究去中心化、去信任，实际情况却是，实名项目更容易赢得投资人信任。

遗憾的是，MerlinLabs是匿名项目。

项目被随意丢弃，投资人只能认赔？

MerlinLabs在被攻击之后采取的解决方案并未如前两次一样修补漏洞并且为投资人制定补偿方案。相反，项目方的做法是迅速抛售代币然后宣布项目解散。

这种做法直接导致已经腰斩的币价走向归零。

币价暴跌，同样导致为项目提供流动性的LP损失惨重。

可以毫不客气地说，项目方这样做是极不负责任的，完全置投资者利益于不顾。

昨晚抄底的投资者成本多在6-8美元区间，一觉醒来归零。

由于项目方是匿名的，同时项目推特注销、电报群禁言、微信群解散，受损失的投资人几乎无处讨要说法。

DeFi没有监管，在“Codeislaw”的区块链世界投资人除了寄希望于项目代码安全，还有就是靠项目方自我道德约束，一旦这两道防线被突破，投资人似乎只能自认倒霉。

标签：MERMERLMerlinNLAGROOMER币MERL币Coinlancer

区块链热门资讯