多鏈借貸協議Hundred Finance 在以太坊第2 層區塊鏈Optimism 上遭遇重大安全漏洞。根據Twitter 上的協議,損失為740 萬美元。
Hundred Finance 於4 月15 日宣布了這一漏洞,稱已與黑客取得聯繫,並正在與多個安全團隊合作處理此事件。儘管該協議沒有透露攻擊是如何執行的,但區塊鏈安全公司Certik 指出這是一次閃貸攻擊:
#CertiKSkynetAlert @HundredFinance 的攻擊者操縱了ERC-20 代幣和htokens 之間的匯率,這使得他們能夠提取比最初存入的更多的代幣。這次攻擊的估計損失約為740 萬美元。
保持警惕https://t.co/1hxAnFoNjj
– CertiK 警報(@CertiKAlert) 2023 年4 月15 日
當黑客通過借貸協議的閃電貸(一種無質押貸款)借入大量資金時,就會發生閃電貸攻擊。然後,黑客將其與其他技術相結合,以操縱去中心化金融(DeFi) 平台上的資產價格。
根據Certik 的說法,在Hundred 的案例中,攻擊者操縱了ERC-20 代幣和hTOKENS 之間的匯率,從而允許他們提取比最初存入的代幣更多的代幣。區塊鏈安全公司繼續說道:
“匯率公式是通過現金價值來操縱的。現金是hBTC合約擁有的WBTC數量。攻擊者通過向hToken合約捐贈大量WBTC來操縱它,從而使匯率上漲。”
Certik 表示,大筆貸款是在匯率被操縱的情況下提取的。百富財經正在準備一份關於該事件的事後分析報告。
這次攻擊發生在Hundred 暴露於Gnosis 鏈上的另一個漏洞之後將近12 個月。當時,黑客通過重入攻擊耗盡了協議的所有流動性。損失超過600 萬美元。在同一個漏洞中,黑客還從龍舌蘭協議中竊取了資金。
自去年以來,許多作惡者使用閃貸攻擊來攻擊DeFi 協議。最近的案例包括對Euler Finance(1.96 億美元)和Mango Markets(4600 萬美元)的攻擊。雖然Euler 的黑客返還了大部分資金,但Mango 的小偷已被美國當局逮捕。
雜誌:加密貨幣項目是否應該與黑客談判?大概
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Ana Paula Pereira所有,未經許可,不得轉載