以太坊第2 層區塊鏈Optimism 見證了涉及多鏈借貸協議Hundred Finance 的重大安全漏洞。根據協議,損失達740 萬美元。
百財經在4月15日披露了漏洞利用的細節。據披露,他們的團隊已經聯繫了黑客,並正在與各個安全團隊合作解決這一事件。儘管該協議沒有透露攻擊的確切方法,但區塊鏈安全公司CertiK 將其確定為閃貸攻擊:
#CertiKSkynetAlert 🚨@HundredFinance 的攻擊者操縱了ERC-20 代幣和htokens 之間的匯率,這使得他們能夠提取比最初存入的更多的代幣。這次攻擊的估計損失約為740 萬美元。保持警惕https://t.co/1hxAnFoNjj
– CertiK 警報(@CertiKAlert) 2023 年4 月15 日
閃電貸攻擊涉及黑客通過借貸協議的無質押貸款借入大筆資金,然後他們利用這些貸款在去中心化金融(DeFi) 平台上操縱資產價格。閃電貸是DeFi 平台的必要功能,允許用戶在用戶指定的短期限內借入大量資產而無需質押,通常是在單個區塊鏈交易中。
對於這些情況,該功能可以在貸款期間為用戶利潤進行套利、再融資和其他操作。但是,費用將在同一筆交易中償還。如果不是,則交易被撤銷並且不支付任何資金。閃電貸可用於合法目的,惡意行為者已利用它們執行閃電貸攻擊,例如Hundred Finance。其他示例包括對Avalanche、Belt Finance、BurgerSwap、Euler Finance 和Platypus 的攻擊,等等大量其他DeFi 協議成為相同方法的犧牲品。此次攻擊發生在Hundred Finance 在Gnosis 鏈上遭受另一次攻擊後將近12 個月,黑客通過重入攻擊耗盡了協議的所有流動性並潛逃了超過600 萬美元。同一威脅參與者還從Aave 協議中提取資金。
CertiK 解釋說,在Hundred 的案例中,攻擊者操縱了ERC-20 代幣和hTOKENS 之間的匯率,使他們能夠提取比最初存入的代幣更多的代幣。 CertiK 進一步闡述:
“匯率公式是通過現金價值來操縱的。現金是hBTC合約擁有的WBTC數量。攻擊者通過向hToken合約捐贈大量WBTC來操縱它,從而使匯率上漲。”
CertiK披露稱,在操縱匯率的情況下大量借貸,百達金融正在對事件進行事後分析。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載
