据多名安全专家称,1 月 12 日,Web3 借贷应用程序和收益聚合商 Wise Lending 被盗取了 170 以太坊 (ETH),按当前价格计算价值 44 万美元。
攻击者可能通过闪贷操纵了预言机价格来实施攻击。区块链数据显示,攻击发生在世界标准时间晚上 07:29。
攻击者使用地址以 d82c 结尾的未经验证的合约来耗尽资金。
多个代币被转移到该合约中,包括价值 9,000 美元的美元硬币 (USDC)、价值 2,000 美元的 Tether (USDT)、价值 5,000 美元的 DAI、18.51 Wrapped Ether (WETH)(47.694 美元)以及众多 Pendle Finance 相关代币。 1 月 12 日利用交易。来源:Etherscan。作为漏洞利用的一部分,攻击者从 AAVE 借贷协议借了 1,110 个 Lido Staked Ether (stETH) 代币(290 万美元)。
剥削者经常使用闪电贷来操纵预言机价格。相关:DeFi 中的闪电贷是什么?化名的区块链安全研究员 Spreek 向加密社区发出有关 X 的攻击的警报,并表示“看起来 Wise Lending 被利用了约 170 eth。”看起来像 Wise借贷被利用约 170 eth pic.twitter.com/FKivuNIKZV — Spreek (@spreekaway) 2024 年 1 月 12 日 在回复自己的帖子时,Spreek 推测该漏洞可能与新的 Pendle Finance 衍生代币有关。
另一位安全研究人员,Officer's Notes,分享了该帖子,并评论道“又一天,又一个漏洞。”
根据官员的注释,该漏洞可能是由特定池内的 stETH 和以太坊 (ETH) 之间 7% 的价格波动引起的,而这又是“AAVE v2 stETH flashloan 的 b/c”。2024 年才刚刚开始,但去中心化金融 (DeFi) 协议已经因漏洞而损失了至少 500 万美元。
1 月 3 日,Radiant Capital 损失超过 450 万美元。
第二天,流动性管理公司 Gamma Protocol 在一次攻击中损失了超过 40 万美元。
根据区块链安全平台 Certik 的数据,2023 年,加密货币黑客、诈骗和漏洞造成的损失超过 18 亿美元。
