最近,Base 区块链上未经验证的借贷合约被利用,导致约 1 万美元的损失,令其深感震惊。该事件最初 报道 由区块链安全公司 Cyvers Alerts 于 10 月 25 日发布,该公司在社交媒体平台 X 上分享了这一更新。
根据 Cyvers 的说法,攻击者利用了与 Wrapped Ether (WETH) 相关的智能合约中的一个严重缺陷。
Base 区块链漏洞:如何展开
据报道,此次攻击始于一笔交易,攻击者通过操纵合约的价格数据窃取了约 993,534 美元。这一漏洞(如前所述)使攻击者能够操纵 Base 区块链上的资产价值,从而轻松盗取资金。
攻击者最初转移的大部分资金已转移到以太坊网络。此后,攻击者又向 Tornado Cash 存入了约 202,549 美元,试图掩盖其踪迹。此外,攻击者还利用同一漏洞窃取了总计 455,127 美元的资金。
与此同时,Cyvers Alerts 首席安全分析师 Hakan Unal 将最近的漏洞归咎于受影响合约所使用的预言机不够稳健。这使得攻击者更容易触发价格变化并利用操纵的价值获利。
Unal 随后建议,可以使用“更可靠、更多样化、流动性更高的预言机”来避免价格操纵并防止将来发生类似的攻击,特别是“针对 WETH 这样的资产”。
去中心化金融(DeFi)的安全问题
最近的违规行为提醒人们去中心化金融相关的风险(DEFI) 平台。当围绕智能合约的安全协议较弱时,情况尤其如此。
出于这些原因,专家建议 DeFi 平台应认真验证借贷合同。
通过改进安全协议,这些平台将能够更好地保护用户资金,并防止类似刚刚发生在 Base 身上的事件再次发生。
此次大规模盗窃事件发生后,袭击者的身份仍未确定,也尚未被追踪到。
