2024 年 9 月 26 日,流動性再抵押平臺 Bedrock DeFi 協議遭到攻擊,導致以太坊主網損失約 170 萬美元。此次黑客攻擊的目標是控制 uniBTC 代幣鑄造的 Vault 合約。
概述
攻擊者: https ://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96
易受攻擊的合約: https ://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da
交易攻擊: https ://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940
漏洞分析
查看漏洞交易,我們可以觀察到,在使用閃電貸從 Balancer Vault 借入 30.8 WETH 後,攻擊者的合約將其全部轉換為原生ETH ,並將其轉移到 Bedrock DeFi 的 Vault 合約,最終導致鑄造了 30.8 個 uniBTC 代幣。
經驗教訓
對於控制代幣鑄造或持有的合約來說,即使是很小的錯誤也可能導致嚴重的安全漏洞。因此,在生產環境部署合約之前進行安全審計至關重要。