2024 年 9 月 26 日,流动性再抵押平台 Bedrock DeFi 协议遭到攻击,导致以太坊主网损失约 170 万美元。此次黑客攻击的目标是控制 uniBTC 代币铸造的 Vault 合约。
概述
攻击者: https ://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96
易受攻击的合约: https ://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da
交易攻击: https ://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940
漏洞分析
查看漏洞交易,我们可以观察到,在使用闪电贷从 Balancer Vault 借入 30.8 WETH 后,攻击者的合约将其全部转换为原生ETH ,并将其转移到 Bedrock DeFi 的 Vault 合约,最终导致铸造了 30.8 个 uniBTC 代币。
经验教训
对于控制代币铸造或持有的合约来说,即使是很小的错误也可能导致严重的安全漏洞。因此,在生产环境部署合约之前进行安全审计至关重要。