研究人員揭發千個智能合約的$10M漏洞

研究人員揭發一項價值1000萬美元的DeFi後門漏洞

Venn Network的團隊懷疑這次攻擊與北韓的Lazarus集團有關，因為其複雜性和廣泛的部署。

加密貨幣安全研究人員近日發現並中和了一個影響數千個智能合約的重大威脅，成功防止超過1000萬美元的加密貨幣被盜。

週四，Venn Network的匿名研究員Deeberiroz在一則X的帖子中透露，這個後門漏洞在生態系統中潛伏了數月。該漏洞針對未初始化的ERC-1967代理合約，允許攻擊者在合約尚未正確設置之前就劫持它們。

Venn Network在週二發現了這一漏洞，隨即啟動了一場為期36小時的救援行動，參與者包括安全研究員Pcaversaccio、Dedaub和Seal 911，他們共同評估受影響的合約並轉移或保護易受攻擊的資金。

攻擊者注入了惡意合約實現

Venn Network的共同創辦人兼總裁Or Dadosh告訴Cointelegraph，攻擊者在合約部署前進行了前置操作，並注入了惡意實現。

“簡單來說，攻擊者利用了某些部署，讓他們能在數千個合約中放置一個隱蔽的後門，”Dadosh表示，並補充說攻擊者隨時可以接管易受攻擊的合約。

在攻擊發生後，黑客在數月內擁有了一個未被檢測到且無法移除的後門。一旦合約被初始化，惡意活動幾乎變得不可見。

安全研究人員在行動期間將漏洞保持在秘密之中，成功地避開了攻擊者，並最終完成了救援。

Deeberiroz表示，幾個去中心化金融（DeFi）協議在行動期間成功保護了數十萬美元的加密資產，及時行動以防止攻擊者抽走資產。

“我們發現數千萬美元的資金存在風險，”Dadosh說。“但更可怕的是，如果這個漏洞持續擴大，涉及的協議中更大一部分的總鎖倉價值（TVL）可能會受到威脅。”

Berachain暫停合約，懷疑Lazarus集團介入

受影響的協議包括Berachain，其團隊回應稱已暫停受影響的合約。週四，Berachain基金會承認了潛在的漏洞，並暫停了其激勵申請合約，將資金轉移到新合約中。

“沒有用戶資金面臨風險，也沒有損失，”Berachain基金會在X上寫道。“激勵將在接下來的24小時內重新可申請，因為分配的Merkle樹正在重新創建。”

Venn Network的安全研究員David Benchimol懷疑臭名昭著的北韓黑客集團Lazarus參與了這次攻擊。Benchimol告訴Cointelegraph，“這次攻擊的向量非常複雜，並在每個EVM鏈上部署。”

他還指出，攻擊者可能在等待一個更大的目標進行攻擊，這使得他們更有可能來自一個組織化的團體。儘管如此，Benchimol強調目前尚無證據證明Lazarus參與了此次攻擊。

這次事件再次提醒我們在去中心化金融領域中，安全性至關重要。隨著DeFi的迅速發展，黑客的攻擊手法也愈加複雜，這要求我們不僅要加強技術防護，還要提升對潛在風險的警覺性。未來，如何在保障創新與安全之間找到平衡，將是整個行業需要共同面對的挑戰。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。