沒有2 沒有3 嗎? – 去中心化金融(DeFi) 及其構成的協議越來越多地成為攻擊的目標。最新的是ThorChain跨鏈流動性協議,剛剛遭受了數百萬美元的損失。
近500萬美元被吹走
7 月15 日至16 日晚上,ThorChain 協議團隊向其用戶報告了對該平台流動性礦池的攻擊。
在Telegram 上發布第一個公告時,攻擊總額估計為13,000 ETH,即超過2,400 萬美元。從那以後,估計數不斷向下修正,被盜的總金額似乎最終達到了2,500 ETH 的數量級,約合490 萬美元。
最終虧損公告– 來源:Telegram
在接下來的幾個小時內,ThorChain 網絡被擱置,而開發人員可以修復攻擊中利用的漏洞。儘管此缺陷已被修復,但截至撰寫本文時,該網絡仍處於中斷狀態。一旦協議團隊確保不存在其他缺陷,這應該會在接下來的幾個小時內重新上線。
攻擊過程
提醒一下,ThorChain 是一種跨鏈流動性協議,這意味著它運行在不同區塊鏈之間的交界處,並允許比特幣、以太坊、萊特幣、比特幣現金和幣安智能鏈之間的流動性轉移。
簡而言之,該協議使用運行名為Bifröst 的服務的節點網絡。該服務允許偵聽來自鏈A 的交易以在鏈B 上執行它們。
根據ThorChain 團隊發布的公告,攻擊者似乎利用了Bifröst ETH 服務中的漏洞。這最近已更新,允許通過盤點的智能合約將路由器包含在智能合約中。
ThorChain 帖子– 來源:Twitter
攻擊者設法通過自定義盤點的合約來欺騙Bifröst 服務,使其相信他正在進行一筆大交易,而實際上他並沒有轉移任何價值。
“攻擊者可以發送msg.value = 200 ETH 的交易,但使用合約將這筆款項轉移給他,然後以0 的存款金額調用路由器。Bifrost 將報告msg.value = 200,而不是depositAmount = 0 .”
ThorChain 在推特上發帖
全額報銷資金
ThorChain 團隊已經宣布,他們將全額退還攻擊者竊取的資金。在實踐中,可以通過協議國庫基金來完成。然而,在採取這種解決方案之前,ThorChain 團隊向攻擊者發送了一條消息,提出返還資金以換取漏洞賞金形式的獎勵。
“雖然財政部有足夠的資金來支付被盜的金額,但我們要求攻擊者與團隊聯繫,討論資金的返還和與發現相稱的獎金。 ”
ThorChain 在Telegram 上發布
幸運的是,該協議通過對其流動性礦池設置上限來謹慎啟動。正如克里斯·布萊克指出的那樣,如果他的團隊沒有採取這種預防措施,這次襲擊的結果可能會更糟。
為確保此類事件不再發生,協議團隊已宣布已聯繫各家專門從事區塊鏈協議安全的公司,對所有使用的智能合約進行全面審計。
加密貨幣領域的黑客繼續成倍增加,並代表了DeFi 的主要風險。在2019 年7 月至2021 年2 月之間,僅以太坊就被盜了超過2.84 億美元。
比特幣和加密貨幣愛好者?如今,有限優惠可讓你免費獲得高達300 歐元的加密貨幣(最低存款額為150 歐元) 利用此優惠,同時通過使用此附屬鏈接註冊(請參閱官方網站上的優惠條件)來支持Journal du Coin 的工作。
ThorChain 文章中有500 萬美元的加密貨幣被盜– 一把錘子太多了?首次出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載