简析meerkat跑路事件 如何躲避DeFi野矿？

内容来自“大橙子&小同的干货铺”的知识星球，作者康纳Repeat。

安全生产简析下meerkat跑路事件

一、核心问题

1. AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换

2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束，可以随意使用1。所说的能力，替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约，卷款跑路。

二、现场还原(以BUSD池为例) 

1.项目方故意“坦诚”给出合约的timelock转移权限记录，展示的确执行了changeAdmin方法移交权限给timelock 地址，用于混淆视听

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约，changeAdmin方法内部调用追踪到304行，实际写入key为ADMIN_ SLOT， 但读取key却为ADMIN_ SLOT。即O (欧)和0 (零)的一个细微差异，让changeAdmin方法完全失效，从而达到了已经移交权限的假象

三、结论和经验

1.高度警惕任何包含proxy 方式合约的项目，若未经timelock约束，合约有被瞬间替换的风险

2. never trust， always verify！ 不要相信项目方给出的timelock“证据”， 对于未经审计的fork项目，务必逐个contract做好与原项目的diff (如果你做到了，就可以躲过meerkat的障眼法)

3.基于1更要养成良好的approve 管理意识，meerkat在跑路后仍然通过无限授权，盗取用户钱包内资产，穷凶极恶。切勿麻痹大意，你永远不知道你曾经授权过的土矿，是否包含proxy模式，是否已经替换了恶意合约！

4. timelock是安全底线，无论是HECO的LLC，还是BSC的popcornswap、meerkat，犯罪方式越发隐蔽的，但万变不离其宗，都是无timelock、假timelock。 珍爱生命，远离无锁土矿

最后

昨天案发后几乎没有看到个人或团队有明确解析，考虑到未来模仿犯罪不可避免，索性公开信息希望做到安全教育的目的。老农务必提高自己的姿势水平，留意此类风险。最后祝大家挖矿出入平安。