基岩DeFi事件分析

avatar
Verichains
10-04
本文为机器翻译
展示原文

2024 年 9 月 26 日,流动性再抵押平台 Bedrock DeFi 协议遭到攻击,导致以太坊主网损失约 170 万美元。此次黑客攻击的目标是控制 uniBTC 代币铸造的 Vault 合约。

概述

攻击者: https ://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96

易受攻击的合约: https ://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da

交易攻击: https ://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940

漏洞分析

查看漏洞交易,我们可以观察到,在使用闪电贷从 Balancer Vault 借入 30.8 WETH 后,攻击者的合约将其全部转换为原生ETH ,并将其转移到 Bedrock DeFi 的 Vault 合约,最终导致铸造了 30.8 个 uniBTC 代币。

查看 Vault 合约的源代码,我们可以清楚地看到,该合约期望原生代币为BTC。 但是,由于此合约部署在以太坊链上,它产生了 uniBTC 和ETH之间的错误转换比率(1:1),这是一个简单但关键的错误。

经验教训

对于控制代币铸造或持有的合约来说,即使是很小的错误也可能导致严重的安全漏洞。因此,在生产环境部署合约之前进行安全审计至关重要。

相关赛道:
DeFi
来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
相关推荐