加密行业刚刚遭受了新的黑客攻击。通过利用编程语言中的漏洞,一名黑客成功窃取了超过 4000 万美元的加密货币。对于去中心化金融的运作至关重要的数百个智能合约显然很容易受到攻击......我们进行盘点。
2023 年 7 月 30 日这个星期日,曲线金融一种去中心化金融协议,已成为攻击的受害者。一名神秘黑客成功窃取了数个文件中包含的加密货币水池流动性。它是一个资金池,用户将其资产存入其中以换取利息。
https://twitter.com/curvefinance/status/1685693202722848768?s=61&t=CPyuVA4RDKn0eEi_T8WTtQ
欺骗智能合约的安全漏洞
为了执行该操作,攻击者利用了Vyper 中的安全漏洞,致力于开发智能合约的编程语言之一(智能合约)在以太坊区块链上。显然 Vyper 版本 0.2.15、0.2.16 和 0.3.0 容易受到攻击。 Curve Finance 在其 X 账户上提到重入攻击。
在这种类型的攻击中,当合约将资金发送到另一个地址然后更新其余额时,黑客就会进行干预。攻击者可以通过强制合约来利用此过程重复发送资金在余额更新之前,从而耗尽所有存储的资产。这就像您从 ATM 机取款后银行余额没有更新一样。然后您就可以再次自由取款。
海盗已经这样了洗劫了 DAO 平台2016 年,黑客攻击让一名身份不明的攻击者带着 5000 万美元失踪。网络安全公司 Cyvers 的联合创始人兼技术总监 Meir Dolev 在接受 Decrypt 采访时强调,这些攻击非常常见,但有可能“通过良好的设计和开发来避免它们”。
Ancilia 研究人员估计,Github 上发现的 450 多个智能合约很容易受到此类操纵。在其 X 帐户上,Vyper 团队无论如何都确保“调查正在进行中,但任何依赖这些版本的项目都应立即与我们联系。”
https://twitter.com/vyperlang/status/1685692973051498497?s=61&t=CPyuVA4RDKn0eEi_T8WTtQ
一盎司的希望
由于这一缺陷,犯罪分子成功窃取了超过 4000 万美元。目前,赃物的具体数额仍不清楚。不出所料,这次黑客攻击已经造成了相当大的影响。压低了 CRV 代币的价格,来自管理 Curve 协议的 DAO,“去中心化自治组织”。 CoinMarketCap 表示,这种加密货币突然贬值,从 0.7 美元跌至不到 0.6 美元。
尽管如此,袭击发生几个小时后,一线希望还是出现了。根据区块链数据分析街区一名“白帽子”黑客,以道德的方式使用自己的技能,成功截获了部分被盗资金。多亏了一个机器人,他追回 2,879 ETH超过五百万美元,并退还给Curve Finance。目前,尚不清楚黑客是否能够归还其他被盗的加密货币。
这并不是 Curve Finance 第一次成为黑客攻击的目标。去年夏天,该协议因智能合约欺诈而损失了 57 万美元。发现盗窃案后不久,巨人币安对此,公司采取了冻结部分资金的措施。感谢该平台,该协议已追回 450,000 美元。
来源 : 解密
