SharkTeam独家分析 | 危险信号：Merlin 被攻击并跑路事件分析

北京时间2021年6月29日， Merlin Lab 继5月26日被闪电贷攻击后再次受到攻击，损失近30万美金。随后在23点27分官方宣布关停项目，次日0点26分开始抛售代币并跑路。

16:54，项目方开始着手调查此事。

17:24，项目方得出初步结论，是经济规则漏洞被利用了。

23:27，宣布关闭项目，通知用户停止存款并及时提取资金。

30日零点26分，项目方开始抛售代币。

项目方对攻击事件的处理是关停项目，Merlin Lab是匿名团队，存在监守自盗的风险

一、事件分析

1. 攻击合约将0.1 WBNB存入Alpaca金库，获得了

1. 攻击合约将 63.2886 WBNB 以及1 Alpaca 转入 Alpaca金库。

（3）调用Haverst()函数获取奖励，这里的奖励包括第2步中添加的资金， Alpaca金库进行复投的时候也包括了第2步中添加的资金，因为第2步添加资金绕过了复投检查条件。

（4）调用withdrawAll()函数提取Alpaca金库中的资金以及获取的奖励。这个过程中会从奖励中扣除绩效费，同时铸造 MERL 作为补偿。还在PancakeSwap中做了流动性添加以及兑换。

在铸币过程中，铸造的MERL 明显偏多，跟其实际价值不符。铸币是由mintFor 函数实现，

其中，merlinPerProfitBNB的值为20e18，这个值导致最终铸造的 MERL 相比于BNB的价格比实际要大，即增发了MERL的数量，使得攻击者从中获得了额外的收益。

（5）最后将铸造的MERL兑换成 WBNB实现获利。

攻击者重复以上攻击步骤22次，共计获取了1,056 WBNB，市值约30万美元。

二、安全建议

此次被攻击后，根据项目方的说法，屡次遭受黑客攻击之后，开发人员对项目前景不乐观，并认为没有更多的经验去应对未来潜在的挑战，最初的愿景无力实现，只得无奈关停项目。目前，项目方文档、推特账号以及中文微信群已经解散。由于项目方是匿名的，同时项目推特注销、电报群禁言、微信群解散，受损失的投资人几乎无处讨要说法。

这次事件，暴露了去中心市场上项目方监守自盗成本低和项目方信任缺失的严重问题，是非常危险的信号，是行业毒瘤。项目方这样做极不负责任，完全置投资者利益于不顾，投资者资产一夜归零。在“Code is law”的区块链世界投资人除了寄希望于项目代码安全，还有就是靠项目方自我道德约束，一旦这两道防线被突破，投资人无处讨要说法，行业急需监管。

SharkTeam 提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的项目，切不可将您的资产置于风险之中，沦为黑客和无良项目的提款机。

==

和2万人一起加入鸵鸟社群

添加QQ群：645991580

添加TG群：鸵鸟中文社区 https://t.me/tuoniaox