北京
奔跑財經1月12日消息,基于以太坊的驗證協議Truebit因黑客盜取2600萬美元協議儲備資金而陷入困境。
攻擊者利用了協議代碼中的漏洞,于倫敦時間周四下午4點左右誘使協議釋放8,535枚以太坊代幣。此后不久,該協議再遭攻擊,網絡犯罪分子竊取了價值近30萬美元的TRU代幣。
Truebit隨后在X平臺發文確認遭遇攻擊,表示"已與執法部門聯系,并采取一切可用措施應對當前狀況"。據DefiLlama數據,2025年網絡犯罪分子通過攻擊加密項目已竊取超25億美元。
Truebit事件凸顯了黑客日益瞄準老舊DeFi協議智能合約的趨勢。去年11月,黑客從DeFi流動性協議Balancer盜取1.28億美元,被利用的智能合約自2021年即在以太坊運行且經過多次審計。
近幾個月其他遭遇攻擊的老舊DeFi協議還包括2020年推出的Yearn Finance v1金庫和Rari Capital,以及2021年推出的Ribbon Finance。這些協議的智能合約編寫時,開發者對當前已廣為人知的代碼關鍵漏洞認知有限。
許多老舊DeFi協議雖不再積極維護,但仍持有大量加密貨幣,因此成為黑客的主要目標。部分DeFi開發者認為該趨勢可歸因于黑客利用人工智能尋找并攻擊協議。
Truebit漏洞源于安全專家熟知的"整數溢出"攻擊向量,本質上是數學運算問題。當智能合約需要執行計算時,代碼錯誤可能導致其生成超過存儲上限的數值,致使數值異常折返為極小值或負值,攻擊者可借此繞過安全檢查、操縱余額并竊取資金。
整數溢出攻擊并非新現象,多年來已有多家DeFi協議因此受害。該問題的普遍性促使當前新智能合約的開發和審計過程都會嚴格檢查整數溢出及類似數學漏洞。但此類漏洞仍時有發生:去年7月,Sui區塊鏈上的去中心化交易所Cetus就因整數溢出漏洞被攻擊,黑客借此誘使協議誤判其資金余額,最終導致價值約2.2億美元的加密貨幣被盜。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
