BSC生态DeFi协议Meerkat Finance跑路事件全面解析

PANews 3月5日消息，据网友大橙子在“大橙子AMPL小同的干货铺”知识星球反馈，BSC生态DeFi协议Meerkat Finance主要存在两个核心问题，并解析了Meerkat是如何跑路的以及这一事件给行业带来了哪些经验。

PART I 核心问题：

1. Admin Upgradeability Proxy 天然的负面影响——**的逻辑合约可以被替换；

2. Admin Upgradeability Proxy 权限没有移交 timelock ，导致项目方不受时间锁约束，可以随意替换逻辑合约， 最终项目方无限制地将正常合约替换成了攻击合约，卷款跑路。

PART II 事件还原（以BUSD池为例）：

1. 项目方故意“坦诚”，给出合约的 timelock 转移权限记录，展示的确是执行了 change Admin 方法，将权限移交给 timelock 地址，用于混淆视听；

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约，change Admin 方法内部调用追踪到304行，实际写入key为ADMIN_SL0T，但读取key却为ADMIN_SLOT。即O（欧）和0（零）的一个细微差异，让change Admin方法完全失效，从而达到了已经移交权限的假象。

PART III 结论和经验： 

1. 高度警惕任何包含 proxy 方式合约的项目，若未经timelock约束，合约有被瞬间替换的风险；

2. never trust，always verify！不要相信项目方给出的timelock“证据”，对于未经审计的fork项目，务必逐个contract做好与原项目的diff（如果你做到了，就可以躲过meerkat的障眼法） ；

3. 基于 1更要养成良好的 approve 管理意识，meerkat 在跑路后仍然通过无限授权，盗取用户钱包内资产，穷凶极恶。切勿麻痹大意，你永远不知道你曾经授权过的土矿，是否包含proxy模式，是否已经替换了恶意合约！

4. timelock 是安全底线，无论是 HECO 的 LLC，还是 BSC 的 popcornswap、meerkat，犯罪方式越发隐蔽，但万变不离其宗，都是无timelock或假timelock。珍爱生命，远离无锁土矿 。

PART IV ** 

昨天案发后几乎没有看到个人或团队有明确解析，考虑到未来模仿犯罪不可避免，索性***息希望做到安全教育的目的。老农务必提高自己的姿势水平，留意此类风险，**祝大家挖矿出入平安。

PANews 此前报道， 3月4日有社区反馈，币安BSC链上的DeFi项目Meerkat Finance疑似跑路，随后审计公司 Certik、Peckshield、慢雾相继介入调查，协助追溯被盗资产流向。