资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
LESS协议遭链上攻击 启动流动性机制被利用致WETH种子资金流失
本次事件并非围绕恶意签名、伪造前端或私钥窃取展开的网络钓鱼案件。LESS协议流动性问题源于其启动过程中的合约交互机制——攻击者通过特定路径提取了协议自身注入的WETH种子资金。
技术分析显示,问题根源在于滚动奖励机制、费用申领函数与初始流动性创建函数间的交互逻辑。当系统跨越多个奖励周期却仅执行一次衰减计算时,LESS奖励价值可能被异常高估。攻击者借此在奖励滚动阶段申领超额LESS代币,并利用同一交易路径触发费用申领和初始流动性创建功能,最终提取协议托管的WETH资金。
风险聚焦:流动性启动阶段的高危特性
代币启动过程形成了一个狭窄而高危的时间窗口,此时合约预设、奖励计划、流动性注入与交易准入首次同时生效。若其中任何环节存在定价偏差或调用顺序错误,启动资金池在市场深度形成前就可能成为攻击目标。
当启动系统试图同步执行多项操作时风险尤为凸显:奖励滚动逻辑需精确计算释放量,费用申领功能必须在清算完成后才可启用,流动性创建函数则须保护种子资产免遭逆向利用。若单笔交易能按有利顺序执行这些步骤,外部流动性甚至尚未进入市场,启动机制便已宣告失败。
LESS事件警示业界,“初始流动性”不仅是做市细节,更是协议核心资本。若种子资金置于调用顺序混乱、奖励状态滞后或衰减更新不全的函数之后,攻击者即可将其视为附带交易接口的资金库。
安全防线需覆盖协议全生命周期
早期DeFi项目仅依赖标准合约审计远远不足。团队需对启动时机、周期转换、首次流动性创建、奖励衰减、费用申领、重入假设、三明治攻击风险及市场开放初期的区块状态进行对抗性测试。系统经济预设与现实交易行为首次碰撞的时刻,往往比启动数月后更具风险。
事件影响与应对措施
当前具体损失金额、攻击者地址集合及恢复路径尚待完整分析。但用户与项目团队已可获得明确警示:此次资金流失源于启动机制、奖励核算与流动性创建流程的漏洞,而非常规钱包安全事件。
后续工作重点包括:冻结漏洞路径、公布交易溯源、确认剩余种子资金与金库余额、说明奖励衰减机制失效原因,以及在市场重启前发布修复后的启动方案。在详细信息披露前,该事件应被视为围绕WETH种子资金的主动协议风险事件,需予以持续关注。
