在Base區塊鏈上發生的一起新事件中,未經驗證的借貸合約被利用,導致超過100 萬美元被盜。區塊鏈安全公司Cyvers Alerts 於10 月25 日在X 上發文報道了這起事件。這次攻擊再次凸顯了一些去中心化金融(DeFi)平台的漏洞。
智能合約的弱點
這次攻擊發生在幾個小時內,利用了Wrapped Ether (WETH) 智能合約中的一個弱點。攻擊者操縱價格並成功從未經驗證的貸款合約中挪用了993,534 美元。隨後,大部分資金被轉移到以太坊網絡,並透過注重隱私的服務Tornado Cash 存入202,549 美元。此外,價值455,127 美元的額外金額也透過同一漏洞被盜。
Cyvers Alerts 的高級SOC 負責人Hakan Unal 表示,原因是預言機不可靠,僅依賴一對,流動性有限,約40 萬美元。這使得該系統容易受到價格波動和操縱的影響。
加害者身分尚未確定
Unal強調,使用更強大、更多樣化、流動性更大的預言機可以更好地吸收價格波動並防止未來的攻擊。他還建議對借貸合約進行更嚴格的審查,並精心挑選預言機,以限制DeFi 平台的風險,尤其是WETH 等資產。
肇事者身分尚未確定,目前已成功攜帶被盜資金潛逃。這一事件凸顯了DeFi 平台迫切需要加強安全協議並改善借貸合約的驗證,以防止未來發生類似的攻擊。
資訊來源:由0x資訊編譯自NEWSBIT。版權歸作者Hidde Scheper所有,未經許可,不得轉載