DeFi 協議Conic Finance 透露,它遭到了攻擊,攻擊者從其Omnipools 中盜取了超過1700 個ETH,價值360 萬美元。
Conic Finance 是去中心化金融協議Curve 的流動性礦池平衡平台。
黑客攻擊的細節
據安全公司BlockSec 稱,此次攻擊的根本原因是“只讀重入”導致的價格操縱。重入性是一種常見的錯誤,它允許攻擊者通過欺騙智能合約重複調用目標協議並竊取其資產來利用智能合約。調用是對智能合約與用戶錢包地址進行交互的授權。 Web3 風險警報來源Beosin 表示,單筆交易將幾乎被盜的金額發送到了一個新的以太坊地址。 Conic Finance 聯繫了用戶,在推特上表示他們正在調查該漏洞,並將很快分享最新信息。
“我們目前正在調查涉及ETH Omnipool 的漏洞,並將在有更新後立即分享。”
安全公司PeckShield 也分析了這次攻擊,揭示了根本原因源於該協議的新CurveLPOracleV2 合約。該公司在推特上表示,
“嗨,@ConicFinance。 根據對惡意交易的初步分析,我們的初步分析顯示根本原因來自於新的CurveLPOracleV2 合約。 FWIW,我們的審計發現了類似的只讀重入問題。 然而,新推出的CurveLPOracleV2 合約中也出現了同樣的問題,這並不屬於審計範圍。”
Curve 也一直在跟進Conic Finance,表示主要問題已經確定,只有ETH Omnipool 受到影響。
“如果你在@ConicFinance 上有資金,請刪除似乎有一次攻擊,但並沒有一次性耗盡”
Conic 隨後在推特上發布了事件的詳細版本,表示他們收到了影響$crvUSD Omnipool 的漏洞的警報,並補充說他們已採取所有可能的安全措施來限制攻擊。
“大約四個小時前,我們收到了影響$crvUSD Omnipool 的漏洞利用警報。 為了應對這一情況,並考慮到今天的ETH 漏洞,我們立即實施了最大程度的安全措施,並暫時關閉了所有Omnipool。”
DeFi 破解了一個重大問題
去中心化金融生態系統一直受到一系列引人注目的黑客攻擊的困擾,影響了幾個主要項目。 Web3 投資組合應用程序De.Fi 的一份報告強調了問題的嚴重性。報告稱,僅2023 年第二季度,DeFi 黑客和詐騙就導致攻擊者竊取了超過2 億美元。然而,與2023 年第一季度相比,第二季度DeFi 黑客造成的損失較小,CertiK 報告稱,1 月至3 月期間協議損失超過3.2 億美元。
Conic Finance 最近才上線,允許用戶將代幣存入他們的Omnipools 中。 Omnipools 允許用戶在Curve 生態系統中實現多元化投資,並增加獎勵。上線後,Conic Finance能夠吸引數百萬美元的資金,凸顯了對此類產品的巨大需求。 Conic 的Omnipools 的工作原理是在多個Curve 礦池中分配單一資產的流動性。 Curve 流動性提供者(LP) 代幣被質押在Convex 上,從而提高了CRV 獎勵。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載