加密行業剛剛遭受了新的駭客攻擊。透過利用程式語言中的漏洞,一名駭客成功竊取了超過 4000 萬美元的加密貨幣。對於去中心化金融的運作至關重要的數百個智能合約顯然很容易受到攻擊......我們進行盤點。
2023 年 7 月 30 日這個星期日,曲線金融一種去中心化金融協議,已成為攻擊的受害者。一名神秘駭客成功竊取了數個文件中包含的加密貨幣水池流動性。它是一個資金池,用戶將其資產存入其中以換取利息。
https://twitter.com/curvefinance/status/1685693202722848768?s=61&t=CPyuVA4RDKn0eEi_T8WTtQ
欺騙智能合約的安全漏洞
為了執行該操作,攻擊者利用了Vyper 中的安全漏洞,致力於開發智能合約的程式語言之一(智能合約)在以太坊區塊鏈上。顯然 Vyper 版本 0.2.15、0.2.16 和 0.3.0 容易受到攻擊。 Curve Finance 在其 X 帳戶上提到重入攻擊。
在這種類型的攻擊中,當合約將資金發送到另一個地址然後更新其餘額時,駭客就會介入。攻擊者可以透過強制合約來利用此過程重複發送資金在餘額更新之前,從而耗盡所有儲存的資產。這就像您從 ATM 機提款後銀行餘額沒有更新一樣。然後您就可以再次自由提款。
海盜已經這樣了洗劫了 DAO 平台2016 年,駭客攻擊讓一名身份不明的攻擊者帶著 5,000 萬美元失蹤。網路安全公司 Cyvers 的聯合創始人兼技術總監 Meir Dolev 在接受 Decrypt 採訪時強調,這些攻擊非常常見,但有可能“透過良好的設計和開發來避免它們”。
Ancilia 研究人員估計,Github 上發現的 450 多個智能合約很容易受到此類操縱。在其 X 帳戶上,Vyper 團隊無論如何都確保“調查正在進行中,但任何依賴這些版本的項目都應立即與我們聯繫。”
https://twitter.com/vyperlang/status/1685692973051498497?s=61&t=CPyuVA4RDKn0eEi_T8WTtQ
一盎司的希望
由於這一缺陷,犯罪分子成功竊取了超過 4000 萬美元。目前,贓物的具體金額仍不清楚。不出所料,這次駭客攻擊已經造成了相當大的影響。壓低了 CRV 代幣的價格,來自管理 Curve 協議的 DAO,“去中心化自治組織”。 CoinMarketCap 表示,這種加密貨幣突然貶值,從 0.7 美元跌至不到 0.6 美元。
儘管如此,襲擊發生幾個小時後,一線希望還是出現了。根據區塊鏈數據分析街區一名「白帽子」駭客,以道德的方式使用自己的技能,成功截獲了部分被盜資金。多虧了一個機器人,他追回 2,879 ETH超過五百萬美元,並退還給Curve Finance。目前,尚不清楚駭客是否能夠歸還其他被盜的加密貨幣。
這並不是 Curve Finance 第一次成為駭客攻擊的目標。去年夏天,該協議因智能合約詐欺而損失了 57 萬美元。發現竊案後不久,巨人幣安對此,公司採取了凍結部分資金的措施。感謝該平台,協議已追回 45 萬美元。
來源 : 解密
