DeFi 新說法:無一無二——就在不到兩週前,ThorChain 協議(RUNE) 成為攻擊目標,造成500 萬美元的損失。不幸的是,該協議剛剛遭到第二次攻擊,甚至比第一次更具破壞性。
THORChain的第一次攻擊
7 月15 日至16 日晚上,Thorchain 跨鏈流動性協議成為針對部署在以太坊上的礦池的攻擊目標。攻擊者總共獲得了不到500 萬美元的ETH。
在實踐中,Bitfröst 以太坊節點存在一個缺陷,允許流動性從一個鏈轉移到另一個鏈。
第一次攻擊總結
隨後,漏洞得到解決,資金通過協議國庫基金退還。同時,開發者試圖聯繫攻擊者,要求他返還資金以換取發現漏洞的獎勵,但未成功。此外,協議團隊已宣布將加快對其所有合約的審核。
第二次攻擊:800萬被盜
不幸的是,協議團隊的喘息只是短暫的。因此,在7 月26 日,該協議成為第二次攻擊的受害者,這一次在損失方面更具破壞性。
Bitfröst 以太坊節點再次成為攻擊目標。根據專業媒體Rekt 報導的信息,攻擊發生在五個行為中:
攻擊者創建了一個假路由器,然後通過發送ETH 來觸發存款事件。然後通過returnVaultAssets() 函數傳遞少量ETH,但是路由器被定義為Asgard 保險庫,一個應該持有運營商節點資金的節點。就其本身而言,真正的Thorchain 路由器將ETH 轉移到假的Asgard Vault。這創建了一個包含惡意備忘錄的假丟棄事件。由於備忘錄的錯誤定義,Bitfröst ETH 節點將此事件作為正常存款攔截並退還給攻擊者。
結果,攻擊者設法從流動性礦池中提取了相當於800 萬美元的資金,使協議在短短兩週內損失的總金額增加到超過1300 萬美元。
被盜資金分解如下:
966.62 ALCX; 20,866,664.53 XRUNE; 1,672,794.01 USDC; 56,104 壽司; 6.91 YFI; 990,137.46 USDT。攻擊者講課時
除了竊取資金外,攻擊者還為開發人員留下了一張紙條。因此,後者解釋說,如果他願意,他本可以竊取更多資金。
“如果我等了,我本可以拿ETH、BTC、LYC、BNB 和BEP20。 我想教一個教訓,把損失降到最低。”
在他的其餘消息中,攻擊者解釋說協議代碼中存在幾個關鍵問題。此外,後者回顧了非可選審計的重要性,並呼籲開發人員擱置協議,直到所述審計尚未執行。
“幾個關鍵問題。 10% 的VAR 溢價可以避免這種情況。 禁用協議,直到審計完成。 審計不是一件好事。 控制9位數字的代碼不要急於求成。”
事實上,協議審計正在進行中,但它已經管理了數百萬美元。
不出所料,受攻擊,Thorchain 自己的代幣RUNE 代幣的價格下跌了15%。
Vitalik Buterin 在巴黎ETHCC 的演講中表達了他希望看到以太坊超越DeFi 的願望。一個可以理解的願望,但與協議的現實相去甚遠。事實上,在創建新應用程序之前,生態系統應該考慮建立安全標準,以防止黑客繼續損害其形象。
比特幣、金融、去中心化、加密貨幣資產……如此多的概念越來越成為日常生活的一部分。通過在FTX 基準平台上註冊,帶頭開始增持和交易你的第一個比特幣,並從交易費用的終生減免中受益(附屬鏈接)。
文章Thorchain(再次)掠奪了800 萬加密貨幣– 黑客提出道德首先出現在Journal du Coin。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載