北京
奔跑財(cái)經(jīng)2月27日消息,一名連環(huán)黑客正針對(duì)DeFi借貸協(xié)議實(shí)施攻擊,迄今已盜取約350萬美元。最新事件中,該攻擊者利用借貸平臺(tái)Ploutos Money的預(yù)言機(jī)配置漏洞,造成近40萬美元損失。
加密貨幣安全公司CertiK指出,該項(xiàng)目似乎已刪除網(wǎng)站及社交媒體賬號(hào)。
預(yù)言機(jī)配置失誤成關(guān)鍵突破口
據(jù)區(qū)塊鏈審計(jì)機(jī)構(gòu)BlockSec分析,Ploutos Money使用了Chainlink的比特幣/美元價(jià)格源作為USDC的預(yù)言機(jī)報(bào)價(jià)。攻擊者"僅存入8 USDC作為抵押,便借出了187枚ETH"。BlockSec同時(shí)指出攻擊發(fā)生在配置錯(cuò)誤被確認(rèn)后的一個(gè)區(qū)塊內(nèi)。
盡管該機(jī)構(gòu)暗示"攻擊者密切監(jiān)控并針對(duì)配置變更立即行動(dòng)",但CertiK與BlockSec帖文下的眾多回復(fù)猜測(cè)可能存在內(nèi)部人員參與。
化名區(qū)塊鏈調(diào)查員Tanuki42將這名攻擊者與至少其他四起黑客事件關(guān)聯(lián),包括導(dǎo)致Moonwell遭受180萬美元損失的兩起百萬級(jí)攻擊。
上周,因配置錯(cuò)誤的預(yù)言機(jī)將cbETH報(bào)價(jià)返回1.12美元(實(shí)際約2,200美元),Moonwell留下了180萬美元壞賬。導(dǎo)致?lián)p失發(fā)生的代碼變更由Claude Opus 4.6與Moonwell貢獻(xiàn)者共同編寫。
ZK彩票平臺(tái)漏洞致160萬美元損失
另一起看似無關(guān)聯(lián)的攻擊中,基于以太坊的"私密ZK彩票"平臺(tái)FOOM CASH因"存在缺陷的ZK驗(yàn)證器"被攻破,損失160萬美元。
區(qū)塊鏈安全公司QuillAudits分析顯示,該項(xiàng)目在以太坊上損失130萬美元,在Base上損失31.6萬美元。問題源于ZK驗(yàn)證器使用中將兩個(gè)常數(shù)設(shè)置為相同值,導(dǎo)致"任何人都能計(jì)算驗(yàn)證方程,無需密鑰"。
類似攻擊上周曾影響B(tài)ase上的隱私協(xié)議Veil.Cash,但損失較小僅為4.5枚ETH,其中2枚ETH被白帽團(tuán)隊(duì)Decurity回收。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
