全球观点：教科书式的黑客攻击解决方案让MetaBase再度火出圈

5月14日，基于BSC开发的全生态链Web3．0平台MetaBase（mbasdao．com）在其官网发布公告，称其生态权益通证MBAS于新加坡时间5月14日凌晨2：29遭到黑客攻击，造成生态内NFT质押合约区块奖励出现安全风险。此次攻击由于合约中未对传入参数进行检查，攻击者能够通过恶意构造参数使得合约转入执行由攻击者创建的恶意合约，并将代币资产转走。攻击共造成智能合约内的150余万MBAS并在短时间内集中卖出，一度造成MBAS流动性枯竭，币价瞬间跌幅一度达到82．34％。

攻击事件发生后，MetaBase技术团队迅速作出反应，第一时间向社区传递安全风险提示信息，并及时对生态内用户进行的NFT质押、盲盒开启等操作进行了链上隔离，阻止攻击事态的进一步扩大。截止5月14日10：00左右，MetaBase技术团队称针对攻击时间已作出3项重大安全升级：对所有的合约权限做了拆分管理，签名合约和管理合约分开成不同的地址；针对合约的资产转账方法做了数量校验，针对非法操作一律拒绝转出；加强了服务端和网络安全层面的防护。以防黑客通过网络层入侵。目前，该安全漏洞已修复，并已启动对此次受影响用户的处理进程。

(相关资料图)

随后，MetaBase团队在官方Telegram承认了此次事件的失误在于团队在智能合约安全方面的疏忽，同时承诺将对此攻击事件承担100％责任，并向社区成员征集解决方案。在听取完社区和安全顾问的意见之后，MetaBase很快给出了最终的解决方案。这次教科书式的危机处理方案，真实展示了MetaBase团队的应急处理能力，其重视用户权益的一系列“神操作”也让其在行业内火速出圈。

对于此次事件中遭受损失的用户，团队整合社区意见迅速给出了智能合约升级和映射的处理方案：

1．对新加坡时间2023年5月14日1：00－－21：00期间的全网账户数据随机进行多次快照；

2．攻击发生后，由于部分用户在PancakeSwap中抢购了非正常价值的MBAS，为了避免智能合约升级后对市场造成影响，快照将对比第一次和最后一次数据，按攻击发生前的账户数据进行映射。

例如：2023年5月14日1：00A账户持有1000MBAS，当天有卖出。21：00快照时，A账户里只有100MBAS，这时将按100MBAS快照；2023年5月14日1：00持有1000MBAS，当天有买入，21：00快照时，A账户里有2000MBAS，这时候按1000MBAS快照。

3．根据撤销池子时，用户LP质押合约里添加LP的类型，智能合约升级后将给予等价值的LP补偿。

例如：用户A添加了0．5BNB类型的LP，升级智能合约后，同样给A用户添加0．5BNB的LP，这样前后价值不变，权益不变。

4．如果在攻击发生期间，用户撤销LP流动性，映射后账户内的MBAS数量将会受影响。此时，用户只需要联系官方客服处理即可。

5．为了维护用户生态权益、保护用户资产安全，对映射完成的LP流动性账户执行锁仓7天操作，到期后将自动解除。

在处理方案公布之后，市场迅速给出反应。MBAS在映射完成后随即启用新的智能合约地址（0xbfedb73b81aba43910ce2606d05abc749ddd5342），并重新登陆PancakeSwap开放交易。随着用户的回归，MBAS也很快恢复至被攻击前的价格，从被攻击到原因复现、从技术修复到重新上线，整个过程MetaBase只用了不到30个小时。MetaBase团队也表示将在三个工作日里完整恢复生态内的NFT质押和盲盒开启等所有功能，从社区情绪也足以看出用户对于MetaBase团队处理结果的态度。

复盘分析

回顾本次黑客事件的始末，MetaBase团队的处理方式堪称教科书级别，值得许多Web3同行项目借鉴和学习。

1．承认错误

在Web3中，项目被盗似乎和技术不行画上了等号，而实际上区块链这一新兴技术，更新速度日新月异，加上各种嵌套使得目前的智能合约代码极其复杂，没有谁能保证项目100％安全永远不会被盗。

许多项目在遭到黑客攻击后经常选择三缄其口，希望大事化小小事化了，然而掩盖一个谎言往往需要一个更大的谎言，最后东窗事发不可收拾。

反观MetaBase团队此次的处理方式，团队在第一时间就向社区公告了攻击事件，然后积极反省，大方地承认了错误，并且在随后的公告中直接了当地指出了团队当期存在的安全问题：

1．没有将不同用途的智能合约账户进行隔离；

2．没有对团队钱包使用多签机制；

3．私钥的传递存在安全隐患；

危机公关的第一步就是直面问题并承认错误，MetaBase主动承认错误无疑能够在第一时间取得社区的好感和理解，为后续其他处理工作的开展打下基础。

2．听取社区意见

尽管创始团队在一开始也曾出现过意见分歧，但是他们显然没有把Web2中心化的思维带入到项目中来，选择抛弃用户不了了之。作为一个去中心化的Web3项目，MetaBase在事件处理中体现了对于社区的重视。

MetaBase在发布黑客事件复盘之后并没有立马给出解决方案，而是向社区征求意见，然后将几种方案公开到社区中让成员们进行讨论，最后才根据社区成员们的意见定下最终方案。事实也证明这个方案是符合社区最大多数利益的。

3．承担损失

很多项目方在项目受到攻击之后经常会发表“对不起我们失败了”的一纸声明，然后退出项目，美曰其名“把项目将还给社区”，任其自生自灭。这显然不是一个负责任的项目该有的做法。

尽管自身也是黑客事件的受害者，MetaBase并没有将损失转嫁到用户身上，而是主动承担损失，自掏腰包对所有受损用户进行了补偿。不管是恐慌性低价出售MBAS的用户，还是在事件中映射出错的用户，MetaBase都对他们进行了相应的补偿。

4．奖励忠实用户

除了前面提到的补偿措施之外，MetaBase在社区中表示，还对事件中积极维护社区信心和坚定持有MBAS的忠实用户进行奖励，用于感谢他们在事件中提供的建议以及让社群避免陷入不良情绪、共识崩塌的情况。

总结

对于大多数项目而言，遭受黑客攻击往往意味着“灭顶之灾”，项目不是就此宣告结束就是逐渐消亡，而MetaBase此次凭借着教科书式的危机公关，转危为机。

在MetaBase即将上线新生态之际，这次事件不仅没让MetaBase名誉受损，反而是让MetaBase狠狠地圈了一波流量和关注，而且社区用户对于项目的好感和忠诚也达到了新的高度，这些因素无疑都将为新生态的成功上线添砖加瓦。

关键词：