最近对去中心化金融的攻击暴露了ERC-4626标准中的漏洞

最近在DeFi领域的一次攻击显示了加密货币存储系统的弱点，特别是ERC-4626保险库。黑客利用一种熟悉的工具叫做闪电贷(贷款，瞬间借贷和还款)，来扭曲汇率并欺骗定价系统，也称为预言机。

在2月27日，一名黑客进行了一种所谓的“捐款攻击”，通过从Aave（一家加密货币借贷平台）借入约400万美元。目标是wUSDM代币，它属于Mountain Protocol的ERC-4626金库系统。这是一种有收益的加密货币，与稳定币USDM挂钩——USDM是一种由于得到美国短期债券的担保而保持价值稳定的加密货币。黑客故意将wUSDM的汇率从1.06推高至1.7，使其看起来比实际价值高。

接下来，黑客使用两个账户进行自我“清算”——即假装出售自己资产——在Venus Protocol上，这是另一个借贷平台。尽管Venus迅速锁定交易以阻止，但黑客仍然 pocket 了约200,000美元的利润。与此同时，根据风险管理公司Chaos Labs的分析报告，Venus的损失超过716,000美元。

Yoni Keselbrener，Lightblocks Labs DeFi 部门负责人，向 The Block 透露：“两个团队及时应对，通过锁定市场、调整风险规则并将汇率恢复到正常水平。”Keselbrener 是 eOracle 的贡献者，该系统为以太坊上的去中心化应用提供现实数据。

Vault ERC-4626，于2022年5月推出，是创建加密货币储存库的标准。然而，Chaos Labs的报告指出，该标准“在借贷平台的汇率异常变动时没有保护措施。”

2024年1月，Euler Finance发布了一项研究，警告称大多数ERC-4626金库没有安全机制来防止汇率操纵。他们认为需要结合多种保护措施以提高有效性。

Chaos Labs 也认为，如果采取以下措施，攻击是可以避免的：“wUSDM 合约应使用来自多个不同来源的汇率检查系统。或者如果 Venus 能够提前警告，他们可以限制汇率异常上涨。”为了避免重演，Aave 计划为所有盈利的加密货币实施 CAPO 机制——一种限制虚假价格上涨的工具，以防止黑客产生虚假利润。

Curve Finance的账户X评论道：“这个漏洞不仅发生在标准的vault上，而是所有类型的vault。这是借贷平台常见的错误。”

Keselbrener 评价道：“CAPO 机制非常有效，但需要额外复杂的编程代码，并且需要持续监控。我们必须确保它不会妨碍合法利润，同时仍能阻止黑客。”他补充说：“随着 DeFi 的复杂性增加，我们不能仅仅依赖简单的价格数据。需要清楚了解每种加密货币的风险。来自多个来源的价格检查系统并不是缺点，而是重要的保护层。专业的预言机供应商可以设计措施来检测和阻止此类攻击。”

免责声明： 本文仅供信息参考，并非投资建议。投资者在做出决策前应进行充分的了解。我们不对您的投资决策承担责任

• 泰国接受USDT和USDC，扩大加密货币交易
• 加利福尼亚金融监管机构警告关于7种新的加密货币和人工智能欺诈
• 微软发现StilachiRAT木马远程攻击Google Chrome上的加密钱包

石山

仅@media屏幕和 (min-width： 0px) 和 (min-height： 0px) { div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] { 宽度：320px; 高度：100px; } } 仅@media屏幕和 (min-width： 728px) 和 (min-height： 0px) { div[id^=“wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] { 宽度：728px; 高度：90px; } }