營運去中心化交易所KyberSwap 的去中心化自治組織(DAO)於週三(22 日)聯繫了從DEX 竊取5000 萬美元的攻擊者。在訊息中,KyberSwap 團隊提供了明確的訊息:「我們想要交易」。
這次攻擊針對的是KyberSwap 的流動性礦池(LP)。該DEX 在攻擊前的總鎖定價值(TVL) 約為8000 萬美元,現在只有778 萬美元。這次攻擊造成相當於7000萬美元的損失,但駭客撤回了5000萬美元。
為了試圖追回被盜資金,KyberSwap 團隊提供了被盜資金總額10% 的獎金。換句話說,價值500萬美元。
表揚與洽談
KyberSwap 給攻擊者的訊息傳達了一個大膽的建議,承認駭客攻擊的複雜性。同時,該團隊將此次竊盜事件標記為「高EV」(預期價值),這是一個加密貨幣市場術語,表示一項策略性舉措。
「你做了最複雜的駭客攻擊之一。這是一個很高的EV,每個人都輸了,」DAO 透過寫在錢包上的消息寫道。 “為了確保所有用戶資金的安全返還,我們將獎勵相當於你的駭客從他們那裡奪走的用戶資金10% 的獎勵。”
KyberSwap 給攻擊者規定了11 月25 日返還資金的最後期限。如果駭客沒有回應,協議必須採取適當措施,試圖透過司法手段追回資金。
駭客透過使用文字字串簽署交易來嘲弄受害者,這是去中心化金融漏洞中越來越常見的趨勢。這也是協議團隊與攻擊者談判的一種方式。在KyberSwap 的攻擊事件中,攻擊者在攻擊發生後立即表示,他「一睡著」就會進行交易,從而進行了挑釁。
KyperSwap 尋找攻擊者
截至本文結束,該公司尚未對獎勵提議做出回應。自攻擊之日起,與DEX 攻擊相關的位址就一直處於非活動狀態。他發出的最後一封訊息正是他表示正在休息,幾小時後開始談判的訊息。
Ambient交易所創始人Doug Colkitt 在X(前身為Twitter)上解釋了攻擊者如何執行「他所見過的最複雜、最精心設計的智能合約漏洞」。根據Colkitt 的調查,攻擊者利用了「無限資金缺陷」和KyberSwap 獨特的流動性實施方式。
他解釋了駭客如何透過假設合約的流動性高於實際流動性來欺騙合約。透過攻擊流動性礦池,他幾乎耗盡了那裡的所有資產。
資訊來源:由0x資訊編譯自CRIPTOFACIL。版權歸作者Luciano Rocha所有,未經許可,不得轉載