资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
HermesVault因29,000美元漏洞攻击永久关停
基于Algorand的隐私协议HermesVault在遭遇安全漏洞后已永久停止运营。此次攻击导致约261,000枚ALGO代币被盗,当时价值约29,466美元。协议首席工程师Giulio Pizzini在社交平台上证实了这一消息,并详细说明了漏洞的技术细节。
取款验证环节存在技术缺陷
据Pizzini解释,HermesVault隐私机制核心的零知识电路本身保持完好,但漏洞出现在取款验证脚本的密钥重置防御逻辑中。这一缺陷使攻击者能完全绕过零知识验证流程,在未经适当授权的情况下提取资金。
Pizzini表示该漏洞现已修复,被盗资金中的230,000枚ALGO已归还项目方。剩余30,000枚ALGO仍下落不明,但团队已为受影响用户启动退款流程。
受害者退款流程
在剩余30,000枚ALGO盗窃案中遭受损失的用户有资格获得全额退款。用户需证明受影响地址的所有权,并提供交易关联的加密凭证。团队未公布具体的退款申请截止日期,但建议用户尽快采取行动。
隐私协议的安全启示
此次事件凸显了隐私型DeFi协议安全设计的复杂性。尽管零知识证明技术被普遍认为具有高可靠性,但周边逻辑(如取款脚本)的实施错误仍可能暴露关键漏洞。这提醒业界,即使是经过严格审计的零知识系统,也需对所有辅助组件进行全面的安全审查。
对Algorand生态而言,知名隐私协议的关闭可能引发对网络隐私解决方案长期可行性的讨论,尤其是在全球对匿名交易的监管日益严格的背景下。
事件总结
HermesVault因29,000美元漏洞攻击而关闭,再次表明去中心化金融领域持续面临安全挑战。尽管团队迅速修复漏洞并启动退款,该事件仍导致协议永久终止运营。资金受损用户应通过官方退款流程申请资产返还。
常见问题解答
问题一:漏洞成因是什么?攻击者利用了取款验证脚本中密钥重置防御逻辑的缺陷,而非零知识电路本身,从而绕过验证机制提取资金。
问题二:被盗金额与退款进展如何?约261,000枚ALGO被盗,其中230,000枚已退还,剩余30,000枚尚未追回。
问题三:受害者如何申领剩余ALGO退款?用户需证明受影响地址所有权并提供交易关联加密凭证方可获得全额退款。
