多個 DeFi 專案在 6 月 7、9、10 日(當地時間)遭遇針對智慧合約、跨鏈橋與去中心化治理的駭客攻擊。以 Solana 為基礎的 DEX Raydium 損失約 130 萬美元,以太坊借貸協議 NovaBox 損失 56.7 ETH,Syscoin 橋看見 50 億 SYS 代幣被非法鑄造,MILC 平台損失 16 萬 1000 美元,而 AragonDAO 損失 944.2 wETH,價值 150 萬美元。攻擊手法已從單純的程式碼漏洞演進到包含竊取管理員權限與治理接管等內容。區塊鏈安全公司指出,這些事件凸顯了整個 DeFi 生態系的結構性安全風險。
Raydium DEX 因傳統池攻擊損失 130 萬美元
在 6 月 10 日(當地時間),以 Solana 為基礎的去中心化交易所 Raydium 遭到針對其傳統自動做市商(AMM)池的攻擊,導致約 130 萬美元的被竊資金。專案表示損害僅限於特定傳統池,並宣布將使用專案金庫資金補償使用者損失。
NovaBox 協議遭遇閃電貸漏洞
以太坊基礎的借貸協議 NovaBox 透過閃電貸漏洞遭到攻擊。根據區塊鏈安全公司 F12 的說法,攻擊者透過利用存款與獎勵分配結構中的漏洞,竊取了約 56.7 ETH。攻擊者使用透過閃電貸取得的大量資本,獲得比實際應得更多的股利,並消耗了多數流動性池資產。F12 在一篇社群媒體貼文中表示,此次攻擊涉及「沒有重入(no reentrancy)、沒有溢位(no overflow)、純粹的經濟設計缺陷」,且「在一筆交易(tx)中,池子損失了 99.86%」。
Syscoin 橋事件導致鑄造 50 億 SYS
第 1 層區塊鏈專案 Syscoin 於 6 月 7 日遭遇橋漏洞攻擊,導致非法鑄造 50 億 SYS 代幣。專案表示其已在早期偵測到異常交易,並將大部分供給移至一個復原地址。Syscoin 公布已暫停橋運作,並目前正在實施安全修補。專案在社群媒體發文稱:「Syscoin 橋目前暫停,團隊正在調查並完成修復。」
MILC 平台管理員金鑰遭竊導致 $161K 損失
媒體導向的數位資產專案 MILC Media Metaverse Platform 因管理員權限遭竊而遭遇橋事件。根據 F12 的說法,攻擊者利用既有的橋接管理員錢包,向其自有的外部擁有帳戶(EOA)授予管理員權限,接著從橋接合約中抽取 MLT(Media License Token),並將管理控制權轉移至其錢包。F12 將根因判定為「管理員私鑰遭到入侵,而非合約錯誤」,並估計損失約 16 萬 1000 美元。
AragonDAO 治理漏洞竊取 150 萬美元
利用 AragonDAO 治理設定中的漏洞發動的駭客攻擊,導致竊取 944.2 wETH(包裝以太坊),價值 150 萬美元(約 22.9 億韓元)。根據區塊鏈安全公司 BlockSec Phalcon 的說法,攻擊者持有超過 50% 的 TOP(Token of Power)治理代幣,並利用結構性缺陷非法鑄造 10 億 TOP 代幣,隨後將 1 億 TOP 兌換為 wETH。BlockSec Phalcon 表示,攻擊者在 6 月 9 日透過「由於代幣的市值偏低,取得超過 50% 的 TOP 投票權,並利用它通過與執行一項治理提案」。
Chainalysis 就具備 AI 的攻擊工具發出警告
Chainalysis 於 6 月 9 日(當地時間)發布報告,稱:「人工智慧(AI)驅動的分析工具擴散,已大幅降低攻擊未驗證智慧合約的難度。」該公司診斷指出:「若 DeFi 專案未能強化程式碼揭露、安全審計與去中心化權威系統,安全事件可能會重複發生。」
FAQ
近期 DeFi 駭客事件中,攻擊者利用了哪些類型的漏洞?
攻擊者利用了 Raydium 的傳統 AMM 池漏洞、NovaBox 的閃電貸經濟設計缺陷、Syscoin 的橋接合約弱點、MILC 平台遭竊的管理員私鑰,以及 AragonDAO 中的治理代幣集中度。事件發生在 6 月 7、9、10 日(當地時間),涉及多個區塊鏈平台。
所有已通報的 DeFi 攻擊中,總共竊取了多少價值?
通報的事件造成約 130 萬美元被從 Raydium 竊取、56.7 ETH 被從 NovaBox 竊取、16 萬 1000 美元被從 MILC 平台竊取,以及 150 萬美元被從 AragonDAO 竊取。根據該專案聲明,Syscoin 被非法鑄造的 50 億 SYS 代幣大多已被回收到一個由專案控制的地址。
Chainalysis 在其 6 月 9 日報告中建議了哪些安全措施?
Chainalysis 在其 6 月 9 日報告中表示,DeFi 專案應強化程式碼揭露、安全審計與去中心化權威系統。該公司指出,由 AI 驅動的分析工具已降低攻擊未驗證智慧合約的門檻。
