在對去中心化的金融(DEFI)空間的重大改組中,總部位於新加坡的平台Gemrex陷入了嚴重的安全漏洞的受害者。超過2800萬美元的USDC被盜,這似乎是一場涉及內部人士訪問的精心計劃的攻擊– 再次使人們關注著繼續困擾Defi協議的安全弱點。
Gemrex是一個私募股權式Defi平台,以提供加密貨幣支持的支付卡並使用Stablecoin賬單啟用日常交易而聞名。該平台通過允許用戶鎖定數字資產來換取產量的產品,從而吸引了他們,重點是安全性和可訪問性。
但是,當攻擊者找到一種方法來利用一種隱藏在Gemrex的智能合約之一中的漏洞的方法時,這種信任就被打破了。該合約在管理用戶資金和促進提款方面發揮了核心作用,從未得到完全確保。儘管它在最初開發後似乎已移交給了Gemrex,但原始開發人員秘密保留了行政特權,有效地保持了後門的開放。
現在,調查人員認為,襲擊背後的人是這位前開發商,他曾在建立平台的基礎設施中扮演關鍵角色。當Gemrex完全控制時,它不知道開發人員仍然可以訪問該系統。該後門允許攻擊者執行一項耗盡金庫的毀滅性交易。
受到打擊的保險庫被稱為MEV Capital的“通常的USDC Vault”,這是一種在高價值投資者中以其基於穩定的收益而流行的產品。區塊鏈記錄顯示,攻擊者使用以前未知的錢包進行盜竊。交易是外科手術的:一舉一動,保管庫被清空了。
進一步的分析表明,在黑客中使用的錢包與與Gemrex相關的其他地址有聯繫,這加強了攻擊者曾經在公司內部工作或與之緊密相關的懷疑。熟悉情況的消息來源證實,該人已幫助開發了基礎設施的關鍵部分,並在沒有公司知識的情況下設法保留了高級權限。
之後,Gemrex迅速做出回應。他們引入了Morphohack,這是一家著名的區塊鏈取證和加密貨幣恢復公司。在處理複雜的Defi漏洞利用方面,Morphohack具有良好的記錄,因此,Morphohack的任務是追踪被盜資產並儘可能多地恢復。
在賠率上,Morphohack交付了。在短時間內,他們能夠收回2800萬美元被盜的2310萬美元。這是在加密貨幣快速發展的世界中的一項令人印象深刻的壯舉,那裡的資金經常通過去中心化的交易所,混幣器和代幣橋樑迅速洗錢。
雖然恢復過程的具體細節尚未公開共享,但人們認為,Morphohack使用了高級區塊鏈追踪,與中心化交易所的合作,甚至可能與攻擊者進行直接聯繫或談判。在過去的事件中,類似的回收率涉及非正式的“白帽”交易,攻擊者退還資金以換取降低的法律風險甚至小賞金。沒有關於這是否發生在這裡的官方消息,但這並不奇怪。
該事件再次引起了人們對Defi平台如何處理智能合約治理的嚴重關注。尤其是,在合約啟用之後,開發人員保留控制權的危險不可能被誇大。在這種情況下,缺乏監督使前內幕人士可以利用在發射時消除的關鍵脆弱性。
特別令人不安的是,這種問題並不是什麼新鮮事。許多DEFI項目都是通過類似的後門方法來針對的,並且根本原因通常是相同的:較差的治理,不完整的審計以及開發和運營控制之間缺乏明確的界限。
儘管違規嚴重,但基金的快速和相對成功的恢復有助於防止Gemrex徹底崩盤。儘管有些用戶仍面臨損失,並且並非所有資金都已收回,但恢復大多數被盜資產已幫助穩定平台並恢復了用戶之間的信心。
此後,Gemrex致力於大修其智能合約部署和審查流程。該公司表示,現在將實施更嚴格的權限控制,進行更深入的審核,並確保沒有單個開發人員在部署後保持不當訪問。換句話說,已經學到了教訓,但成本很高。
對於更廣泛的Defi社區而言,這一事件應既是一個警告性的故事,又是一個案例研究,如何有效地應對危機。隨著行業不斷增長,吸引更多的用戶和資本,質押只會變得更高。儘管Defi在自由,創新和財務可及性方面提供了很多服務,但它也需要更大的責任– 從開發人員和用戶那裡。
使去中心化系統真正安全還有很長的路要走。但是這樣的案例表明,使用正確的工具,專業知識和快速行動,可以將災難變成恢復故事。 Morphohack在檢索大多數被盜資金方面的作用為如何處理合適的團隊時如何處理(並有可能解決)設定了新的基準。
Morphohack是一個區塊鏈安全和法醫調查公司,專門從事智能合約審核,Defi漏洞恢復和事件響應。 Morphohack憑藉快速,高影響的干預措施而聞名,可與受損害的平台合作,以追踪盜竊的資金,恢復資產和加強協議安全性。他們的工作結合了先進的區塊鏈分析,鍊鍊取證以及與交易所和執法機構的戰略協調。您可以通過電子郵件與他們聯繫:[email protected]
最後,Gemrex Hack使我們想起了Crypto中一個不舒服的事實:無論技術多麼先進,它都與人們建立和管理它一樣安全。對代碼的信任很重要,但是對人的信任,而使他們負責的系統同樣至關重要。
安全性,透明度和良好治理在Defi中不是可選的。它們是其他一切都依賴的基礎。
聲明:以上內容採集自VOCAL,作品版權歸原創作者所有內容均以傳遞信息為目的,不代表本站同意其觀點,不作為任何投資指導。幣圈有風險,投資需謹慎