资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
区块链安全事件技术分析
近日两家去中心化金融协议相继遭遇攻击,造成损失超过1700万美元。其中DEX聚合器协议损失超过1340万美元,涉及以太坊、Arbitrum、Base及币安智能链多条网络;另一专注集中流动性管理的协议则在同期独立事件中损失约367万美元。
漏洞技术原理
安全分析报告指出:“受害合约因输入验证不足而暴露了任意调用功能,攻击者得以滥用现有代币授权,通过调用转账函数转移资产。”报告进一步强调:“此类事件提醒我们,合约设计的灵活性必须与严格的调用约束谨慎平衡,尤其在外部审查有限的黑盒系统中更需警惕。”
漏洞成因剖析
在首个案例中,漏洞源于某个未对关键输入进行充分验证的函数。攻击者将预期的路由或池地址替换为USDC等代币地址,诱使受害合约将代币视为有效执行目标。这使得攻击者能通过可控调用数据执行底层调用,最终转移所有已授权资产。
该漏洞影响了某DeFi聚合交易平台的用户群体,这些用户此前关闭了平台的“单次授权”设置,并直接向攻击合约授予了无限授权。最大单笔损失达1334万美元,累计20名用户受影响。攻击始于Base链特定区块高度,尽管协议在45分钟后暂停了Base链合约并在其他链跟进暂停,但在此期间仍有13名用户 across三链遭受损失。
类似漏洞二次出现
另一协议在其某个函数中存在同类缺陷。当该函数被调用时,其内部函数会直接使用用户提供的调用数据执行底层调用,却未对调用目标或函数选择器实施严格约束。
攻击者借此构造恶意调用数据,不仅可转移ERC-20代币,还能获取Uniswap V3流动性头寸NFT的操控权限。曾为“即时流动性管理”功能授予授权的用户面临风险。
在以太坊网络的典型攻击中,攻击者仅消耗100wei ETH便通过合约调用漏洞函数。将原生代币封装为WETH后,恶意调用WBTC转账函数得以执行,攻击者在通过自设兑换输出值满足余额检查的同时,清空了已授权代币。
平台应对措施
事件促使两家协议重新评估安全策略:首先均建议用户使用授权撤销工具取消授权;交易平台已关闭允许用户禁用单次授权的开关功能,并暂时下架相关协议,明确表示“未来不会允许为追求定制性而牺牲安全性的做法”。
另一协议则声明已禁用所有受影响的网络应用功能,正在与顶尖安全取证公司及执法部门协同追踪资金流向,同时建立资金返还沟通渠道。
