Aftermath 已确认其永续合约协议遭到挖矿,该攻击发生在 4 月份——当时DeFi 领域发生了多起安全事件和大范围损失。
根据团队公告,问题源于一个漏洞,该漏洞允许设置负的构建者费用,导致约 114 万镁的损失。作为预防措施,该协议已暂时中止,而未受影响的产品将继续正常运行。
“余波”事件是四月份一系列重大事件的一部分。
挖矿并非个例。汇总数据显示,4 月份 DeFi 领域发生多起事件,涵盖智能合约故障、基础设施和治理问题等。其中一些规模巨大,而另一些规模较小,但同样暴露了生态系统各个层面的漏洞。
两起重大事故造成了大部分损失。
本月报告的大部分损失来自两起事件。Kelp DAO事件涉及 rsETH 的一个漏洞,估计损失约为 2.92 亿镁。该问题被描述为通过桥接协议漏洞铸造无担保资产,随后蔓延至集成协议。在这种情况下,资金并未以传统方式提取,但系统性风险上涨,尤其是对持有这些资产的借贷平台而言。
另一起事件涉及 Drift Protocol,该攻击利用抵押资产操纵和治理问题造成了重大损失。报告估计损失高达数亿镁,尽管此次攻击的结构与典型的挖矿有所不同。总体而言,这两起事件占4月份记录损失的很大一部分,根据现有追踪数据,损失总额超过6亿镁。
许多中等规模的事故仍在发生。
除了重大事件外,一系列中等规模的事件也加剧了整体损失。Rhea Finance 在一次涉及伪造代币合约和预言机操纵的攻击中损失了约 760 万镁。Grinex Exchange报告,约 1370 万镁从钱包中提取,影响了多个地址。GiddyDefi 由于与签名重放机制相关的授权验证错误而损失了约 130 万镁。CoW Swap也遭遇了一起约 120 万镁的损失事件,该事件源于域名劫持攻击,这表明风险并非仅限于智能合约。
较小的事故表明,多层安全机制仍然存在漏洞。
其他一些协议,例如 Silo Finance、Aethir 和 Dango,也报告了与预言机配置错误、访问控制问题或合约错误相关的损失。在某些情况下,例如 Dango,资金随后通过白帽黑客干预得以追回。最近,Scallop 和 Volo Protocol 也报告了与合约逻辑错误和相应的私钥泄露相关的事件。这些事件规模较小,但它们表明 DeFi 的各个层面仍然存在漏洞。
DeFi的风险并非集中在某一点上。
四月份发生的事件表明,风险并非集中于单一原因,而是分散在各个方面。智能合约逻辑、密钥管理系统、域名基础设施、链桥接以及协议设计参数都出现了问题。现有数据表明,单层安全措施不足以完全消除风险,因为漏洞可能存在于源代码和运行层面。
概括
Aftermath挖矿使4月份的安全事件清单再添新成员,DeFi领域因各种事件造成的损失已超过6亿镁。总体而言,风险分散在多个技术和运营层面,但目前的数据尚不足以确定整个生态系统中哪个环节最为薄弱。
