本週加密領域發生了一個罕見的令人欣慰的轉折,一位使用者在因錢包漏洞損失100 ETH後成功追回資金。
這次追回資金得益於Safe錢包團隊的行動和Protofire的白帽開發者的遠見。
100 ETH因錢包漏洞丟失——隨後在驚人的救援中追回
事件發生時,長期以太坊使用者khalo_0x在X(Twitter)上嘗試將100 ETH從以太坊主網橋接到Base區塊鏈。他使用了官方Safe錢包橋接介面。
按當前匯率,ETH交易價格為2,635美元,這筆轉賬價值超過263,500美元。
以太坊(ETH)價格表現。來源:BeInCrypto他不知道的是,橋接工具中的一個關鍵使用者體驗漏洞允許轉賬到一個看似是他的智慧合約錢包。
然而,這個錢包實際上由另一個實體控制。
問題的根源在於Khalo使用了2020年部署的過時版本Safe(v1.1.1)。這個舊版本早於多鏈考慮,缺乏現在新版本中標準的保護措施。
結果是,一個攻擊者(最初看起來如此)之前在Base上部署了Khalo錢包地址的副本,但使用了不同的所有者配置。透過這種方式,他們在資金橋接後立即有效地劫持了資金。
"我昨晚使用Safe一鍵失去了畢生積蓄。這是在持有ETH 8年並避免詐騙之後。官方橋接功能中的使用者體驗漏洞暗示目標地址是我在Base上的Safe。但事實並非如此,"Khalo在一篇帖子中哀嘆。
這條推文引起了加密社群的關注,包括Safe團隊。開發者Tschubotz.eth調查後發現,控制已橋接ETH的Base地址實際上並非惡意的。
過時的錢包版本為跨鏈漏洞開了門
相反,這是由Protofire(一家白帽開發公司)部署的,他們主動在Base上部署了數百個Safe v1.1.1錢包,以防止黑帽攻擊者這樣做。
"與外部擁有賬戶(EOA)不同,像Safe這樣的智慧賬戶由部署的智慧合約程式碼管理。從技術上講,可以在不同鏈上以相同地址部署具有相同部署配置(相同簽名者)的智慧賬戶(使用反事實部署)……但這個案例不同……當時的智慧賬戶版本(v1.1.1)尚未考慮多鏈,因此任何人都可以在不同鏈上以相同地址部署具有完全不同配置的智慧賬戶,"Safe聯合創始人Lukas Schor 解釋。
在驗證了Khalo的身份後,Protofire promptly返還了全部100 ETH。在進行測試交易後成功完成全額轉賬,危機在發生幾小時後得到解決。
"這是我近期見過的最酷的加密故事之一,"Dragonfly管理合夥人Haseeb Qureshi 表示。
這一事件凸顯了隨著加密錢包在多鏈生態系統中的發展,迫切需要更好的使用者保護措施。
Safe的更新版本v1.2.0現在透過更改合約部署期間CREATE2鹽的計算方式,包括了針對此類漏洞的保護。
橋接工具還升級為在目標地址存在衝突智慧合約程式碼時發出警告。
儘管如此,這一事件仍是一個發人深省的提醒,表明使用者仍然容易受到微妙且不明顯的漏洞影響。
"……我們仍處於使用者在轉移大額資金之前需要進行測試交易的階段,"Schor補充道。
儘管最初經歷了創傷,但Khalo的故事最終以資金追回而告終。
