最近對去中心化金融的攻擊暴露了ERC-4626標準中的漏洞

最近在DeFi領域的一次攻擊顯示了加密貨幣存儲系統的弱點，特別是ERC-4626保險庫。黑客利用一種熟悉的工具叫做閃電貸(貸款，瞬間借貸和還款)，來扭曲匯率並欺騙定價系統，也稱為預言機。

在2月27日，一名黑客進行了一種所謂的“捐款攻擊”，通過從Aave（一家加密貨幣借貸平臺）借入約400萬美元。目標是wUSDM代幣，它屬於Mountain Protocol的ERC-4626金庫系統。這是一種有收益的加密貨幣，與穩定幣USDM掛鉤——USDM是一種由於得到美國短期債券的擔保而保持價值穩定的加密貨幣。黑客故意將wUSDM的匯率從1.06推高至1.7，使其看起來比實際價值高。

接下來，黑客使用兩個賬戶進行自我“清算”——即假裝出售自己資產——在Venus Protocol上，這是另一個借貸平臺。儘管Venus迅速鎖定交易以阻止，但黑客仍然 pocket 了約200,000美元的利潤。與此同時，根據風險管理公司Chaos Labs的分析報告，Venus的損失超過716,000美元。

Yoni Keselbrener，Lightblocks Labs DeFi 部門負責人，向 The Block 透露：“兩個團隊及時應對，通過鎖定市場、調整風險規則並將匯率恢復到正常水平。”Keselbrener 是 eOracle 的貢獻者，該系統為以太坊上的去中心化應用提供現實數據。

Vault ERC-4626，於2022年5月推出，是創建加密貨幣儲存庫的標準。然而，Chaos Labs的報告指出，該標準“在借貸平臺的匯率異常變動時沒有保護措施。”

2024年1月，Euler Finance發佈了一項研究，警告稱大多數ERC-4626金庫沒有安全機制來防止匯率操縱。他們認為需要結合多種保護措施以提高有效性。

Chaos Labs 也認為，如果採取以下措施，攻擊是可以避免的：“wUSDM 合約應使用來自多個不同來源的匯率檢查系統。或者如果 Venus 能夠提前警告，他們可以限制匯率異常上漲。”為了避免重演，Aave 計劃為所有盈利的加密貨幣實施 CAPO 機制——一種限制虛假價格上漲的工具，以防止黑客產生虛假利潤。

Curve Finance的賬戶X評論道：“這個漏洞不僅發生在標準的vault上，而是所有類型的vault。這是借貸平臺常見的錯誤。”

Keselbrener 評價道：“CAPO 機制非常有效，但需要額外複雜的編程代碼，並且需要持續監控。我們必須確保它不會妨礙合法利潤，同時仍能阻止黑客。”他補充說：“隨著 DeFi 的複雜性增加，我們不能僅僅依賴簡單的價格數據。需要清楚瞭解每種加密貨幣的風險。來自多個來源的價格檢查系統並不是缺點，而是重要的保護層。專業的預言機供應商可以設計措施來檢測和阻止此類攻擊。”

免責聲明： 本文僅供信息參考，並非投資建議。投資者在做出決策前應進行充分的瞭解。我們不對您的投資決策承擔責任

• 泰國接受USDT和USDC，擴大加密貨幣交易
• 加利福尼亞金融監管機構警告關於7種新的加密貨幣和人工智能欺詐
• 微軟發現StilachiRAT木馬遠程攻擊Google Chrome上的加密錢包

石山

僅@media屏幕和 (min-width： 0px) 和 (min-height： 0px) { div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] { 寬度：320px; 高度：100px; } } 僅@media屏幕和 (min-width： 728px) 和 (min-height： 0px) { div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] { 寬度：728px; 高度：90px; } }