基岩DeFi事件分析

avatar
Verichains
10-04
本文為機器翻譯
展示原文

2024 年 9 月 26 日,流動性再抵押平臺 Bedrock DeFi 協議遭到攻擊,導致以太坊主網損失約 170 萬美元。此次黑客攻擊的目標是控制 uniBTC 代幣鑄造的 Vault 合約。

概述

攻擊者: https ://etherscan.io/address/0x2bfb373017349820dda2da8230e6b66739be9f96

易受攻擊的合約: https ://etherscan.io/address/0x047d41f2544b7f63a8e991af2068a363d210d6da

交易攻擊: https ://etherscan.io/tx/0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940

漏洞分析

查看漏洞交易,我們可以觀察到,在使用閃電貸從 Balancer Vault 借入 30.8 WETH 後,攻擊者的合約將其全部轉換為原生ETH ,並將其轉移到 Bedrock DeFi 的 Vault 合約,最終導致鑄造了 30.8 個 uniBTC 代幣。

查看 Vault 合約的源代碼,我們可以清楚地看到,該合約期望原生代幣為BTC。 但是,由於此合約部署在以太坊鏈上,它產生了 uniBTC 和ETH之間的錯誤轉換比率(1:1),這是一個簡單但關鍵的錯誤。

經驗教訓

對於控制代幣鑄造或持有的合約來說,即使是很小的錯誤也可能導致嚴重的安全漏洞。因此,在生產環境部署合約之前進行安全審計至關重要。

相关赛道:
DeFi
來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
相關推薦