多个 DeFi 项目在 6 月 7 日、9 日和 10 日(当地时间)遭遇针对智能合约、跨链桥和去中心化治理的黑客攻击事件。基于 Solana 的 DEX Raydium 损失约 130 万美元,基于以太坊的借贷协议 NovaBox 损失 56.7 ETH,Syscoin 桥出现 50 亿 SYS 代币被非法铸造,MILC 平台损失 16.1 万美元,AragonDAO 损失 944.2 wETH,价值 150 万美元。攻击方式已从简单代码漏洞演变为包括管理员权限盗取和治理接管在内的手法。区块链安全公司指出,这些事件凸显了整个 DeFi 生态系统中存在结构性安全风险。
Raydium DEX 因“遗留池”攻击损失 130 万美元
6 月 10 日(当地时间),基于 Solana 的去中心化交易所 Raydium 遭受针对其遗留自动做市商(AMM)池的攻击,导致约 130 万美元被盗资金。项目表示损害仅限于某些遗留池,并宣布将使用项目金库资金对用户损失进行补偿。
NovaBox 协议遭遇闪电贷漏洞利用
基于以太坊的借贷协议 NovaBox 遭到闪电贷漏洞利用攻击。据区块链安全公司 F12 称,攻击者通过利用存款和奖励分配结构中的漏洞,窃取了约 56.7 ETH。攻击者使用通过闪电贷获得的大额资本,来获取超过实际应得的更多分红,从而耗尽大部分流动性池资产。F12 在一则社交媒体发帖中表示,该攻击涉及“无重入、无溢出、纯经济设计缺陷”,并称“99.86% 的池子在一次交易中就没了”。
Syscoin 桥事件导致 50 亿 SYS 被铸造
Layer-1 区块链项目 Syscoin 遭遇桥漏洞利用,导致在 6 月 7 日非法铸造了 50 亿 SYS 代币。项目表示其在早期就检测到异常交易,并将大部分供应转移到一个恢复地址。Syscoin 宣布暂停桥操作,并正在实施安全补丁。项目在社交媒体上发布称:“Syscoin 桥当前已暂停,团队正在调查并最终确定修复方案。”
MILC 平台管理员密钥泄露导致 $161K 损失
面向媒体的数字资产项目 MILC Media Metaverse Platform 因管理员权限被盗而遭遇桥事件。据 F12 称,攻击者利用了一个已存在的桥接管理员钱包,向其自有的外部拥有账户(EOA)授予管理员权限,然后从桥合约中提取 MLT(Media License Token),并将管理员控制权转移到自己的钱包。F12 将根因认定为“管理员私钥遭到泄露,而非合约漏洞”,并估算损失约为 16.1 万美元。
AragonDAO 治理漏洞致使 150 万美元被盗
一次利用 AragonDAO 治理设置漏洞的黑客攻击,导致盗走 944.2 wETH(包装以太坊),价值 150 万美元(约 22.9 亿 KRW)。据区块链安全公司 BlockSec Phalcon 称,攻击者持有超过 50% 的 TOP(Token of Power)治理代币,并利用结构性缺陷非法铸造 100 亿 TOP 代币,随后将 10 亿 TOP 兑换为 wETH。BlockSec Phalcon 表示,攻击者“由于代币的低市值,获得了超过 50% 的 TOP 投票权,并用其在 6 月 9 日通过并执行一项治理提案”。
Chainalysis 对 AI 赋能攻击工具发出警告
Chainalysis 在 6 月 9 日(当地时间)发布报告称:“基于人工智能(AI)的分析工具扩散已显著降低了攻击未验证智能合约的难度。”该公司诊断称:“如果 DeFi 项目不加强代码披露、安全审计和去中心化权力系统,安全事件可能会再次发生。”
FAQ
近期 DeFi 黑客攻击事件中,攻击者利用了哪些类型的漏洞?
攻击者在 Raydium 中利用了遗留 AMM 池漏洞,在 NovaBox 中利用了闪电贷经济设计缺陷,在 Syscoin 中利用了桥合约的薄弱点,在 MILC 平台中利用了被泄露的管理员私钥,并在 AragonDAO 中利用了治理代币的集中度。这些事件发生在 6 月 7 日、9 日和 10 日(当地时间),横跨多个区块链平台。
所有已报告的 DeFi 攻击中,被盗总价值是多少?
据报告,这些事件导致从 Raydium 被盗约 130 万美元、从 NovaBox 被盗 56.7 ETH、从 MILC 平台被盗 16.1 万美元、以及从 AragonDAO 被盗 150 万美元。根据项目声明,Syscoin 被非法铸造的 50 亿 SYS 代币大部分已被追回到一个由项目控制的地址。
Chainalysis 在 6 月 9 日的报告中建议了哪些安全措施?
Chainalysis 在其 6 月 9 日的报告中表示,DeFi 项目应加强代码披露、安全审计以及去中心化权力系统。该公司指出,基于 AI 的分析工具已降低了攻击未验证智能合约的门槛。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
