Aftermath 已確認其永續合約協議遭到挖礦,該攻擊發生在 4 月份——當時DeFi 領域發生了多起安全事件和大範圍損失。
根據團隊公告,問題源於一個漏洞,該漏洞允許設置負的構建者費用,導致約 114 萬鎂的損失。作為預防措施,該協議已暫時中止,而未受影響的產品將繼續正常運行。
“餘波”事件是四月份一系列重大事件的一部分。
挖礦並非個例。彙總數據顯示,4 月份 DeFi 領域發生多起事件,涵蓋智能合約故障、基礎設施和治理問題等。其中一些規模巨大,而另一些規模較小,但同樣暴露了生態系統各個層面的漏洞。
兩起重大事故造成了大部分損失。
本月報告的大部分損失來自兩起事件。Kelp DAO事件涉及 rsETH 的一個漏洞,估計損失約為 2.92 億鎂。該問題被描述為通過橋接協議漏洞鑄造無擔保資產,隨後蔓延至集成協議。在這種情況下,資金並未以傳統方式提取,但系統性風險上漲,尤其是對持有這些資產的借貸平臺而言。
另一起事件涉及 Drift Protocol,該攻擊利用抵押資產操縱和治理問題造成了重大損失。報告估計損失高達數億鎂,儘管此次攻擊的結構與典型的挖礦有所不同。總體而言,這兩起事件佔4月份記錄損失的很大一部分,根據現有追蹤數據,損失總額超過6億鎂。
許多中等規模的事故仍在發生。
除了重大事件外,一系列中等規模的事件也加劇了整體損失。Rhea Finance 在一次涉及偽造代幣合約和預言機操縱的攻擊中損失了約 760 萬鎂。Grinex Exchange報告,約 1370 萬鎂從錢包中提取,影響了多個地址。GiddyDefi 由於與簽名重放機制相關的授權驗證錯誤而損失了約 130 萬鎂。CoW Swap也遭遇了一起約 120 萬鎂的損失事件,該事件源於域名劫持攻擊,這表明風險並非僅限於智能合約。
較小的事故表明,多層安全機制仍然存在漏洞。
其他一些協議,例如 Silo Finance、Aethir 和 Dango,也報告了與預言機配置錯誤、訪問控制問題或合約錯誤相關的損失。在某些情況下,例如 Dango,資金隨後通過白帽黑客干預得以追回。最近,Scallop 和 Volo Protocol 也報告了與合約邏輯錯誤和相應的私鑰洩露相關的事件。這些事件規模較小,但它們表明 DeFi 的各個層面仍然存在漏洞。
DeFi的風險並非集中在某一點上。
四月份發生的事件表明,風險並非集中於單一原因,而是分散在各個方面。智能合約邏輯、密鑰管理系統、域名基礎設施、鏈橋接以及協議設計參數都出現了問題。現有數據表明,單層安全措施不足以完全消除風險,因為漏洞可能存在於源代碼和運行層面。
概括
Aftermath挖礦使4月份的安全事件清單再添新成員,DeFi領域因各種事件造成的損失已超過6億鎂。總體而言,風險分散在多個技術和運營層面,但目前的數據尚不足以確定整個生態系統中哪個環節最為薄弱。
