交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
近期DeFi攻击事件揭示标准化漏洞风险
最近发生的一起去中心化金融(DeFi)攻击事件凸显了某些DeFi金库标准实施中的漏洞,这些漏洞可能被高级威胁参与者利用,通过闪电贷等常见工具操纵汇率并误导价格预言机。
攻击事件概述
2月27日,一名攻击者利用闪电贷实施了"捐赠攻击",从Aave借入约400万美元,用以操纵Mountain Protocol的收益型稳定币wUSDM的ERC-4626金库代币,人为推高其内部汇率。该稳定币USDM由短期美国国债作为抵押。
在捐赠攻击中,威胁参与者将wUSDM的汇率从1.06推高至1.7,随后使用两个账户在Venus Protocol借贷平台上进行自我清算。尽管Venus迅速做出反应冻结了市场,但根据风险管理公司Chaos Labs最近发布的详细事件报告,攻击者仍获利约20万美元,而Venus则因此遭受超过71.6万美元的净损失。
应对措施与行业反应
"两家团队都采取了适当的应急措施——冻结市场、调整风险参数并重置汇率,"Lightblocks Labs的DeFi负责人Yoni Keselbrener在接受采访时表示。Keselbrener为eOracle的预言机基础设施做出贡献,eOracle是一个基于EigenLayer开发的以太坊原生预言机网络,允许将现实世界数据集成到去中心化应用中。
被攻击的金库实施了2022年5月推出的ERC-4626标准化代币金库,尽管这些金库后来变得流行。然而,根据事件报告,该金库标准"...在用于借贷协议时,不包括针对操纵汇率的保护措施。"
漏洞研究与安全建议
借贷平台Euler Finance在2024年1月发布了关于ERC-4626金库漏洞的研究报告,指出大多数金库没有明确实施防止汇率操纵的安全检查。"我们预计在多数情况下,可能需要结合两种或更多缓解机制以取得更好效果,"作者写道。
Chaos Labs在其事件报告中承认,安全策略本可以预防此次攻击。"为缓解这种攻击途径,wUSDM合约本可以使用跨链汇率预言机,或者在适当披露后,Venus本可以实施安全措施来限制汇率升值,"Chaos Labs写道。"为进一步缓解这种攻击途径,将对所有收益型资产实施上限预言机设置——例如Aave的CAPO机制——防止通过人为收益峰值进行操纵。"
行业专家观点
Curve Finance的X账户在回应Keselbrener关于该漏洞的讨论时补充道:"这适用于任何金库[顺便说一下],而不仅仅是标准化的金库。""这只是借贷平台常见的失误。"
Keselbrener表示CAPO标准是有效的,但需要"...额外的代码复杂性和持续管理,以确保在防止操纵的同时不会限制合法的收益增长。"
"随着DeFi变得越来越复杂,我们需要超越简单的价格馈送来全面了解我们正在集成的资产的风险状况,"Keselbrener说。"对跨链预言机基础设施的需求不是缺点,而是额外的安全层。专业预言机提供商也可以实施专门设计的安全措施,以检测和防止这些确切的操纵场景。"
