跨链互操作性协议 Socket 在上周发生 Bungee 桥接协议被利用事件后,发布了有关回收 1,032 以太币 (ETH) 的信息。收回的资金相当于价值约 230 万美元的 ETH,该漏洞造成的损失估计为 330 万美元。该漏洞发生于 1 月 16 日,影响了对 Socket 合约进行无限批准的钱包。据区块链安全公司 PeckShield 称,尽管最初至少有 330 万美元被盗,但 Socket 仍暂停了受影响的合约。
PeckShield 表示,该漏洞是由于“对用户输入的验证不完整而导致的,该输入被用来窃取已批准易受攻击的 SocketGateway 合约的用户的资金”。该安全公司补充说,所利用的路线是三天前添加的,现已被禁用。
The Block 研究总监 Steven Cheng 分析称,攻击者利用了 Socket 平台的过度审批,将资产消耗至每个用户的审批限额。用户必须主动撤销批准,以防止丢失这些未使用的配额。郑表示,这次攻击本质上是利用了预先批准的余额,但从未桥接过。用户可以通过撤销配额或删除未使用的批准来避免被利用。
虽然被盗金额尚未追回,但 Socket 能够收回价值超过 200 万美元的以太币,这表明对桥接协议的利用有时可能只会导致永久性损失。
Socket 承诺为其用户发布恢复和分发计划。
加密行业充斥着漏洞,随着它继续处理协议级漏洞,Socket 和智能合约安全部门等项目表明响应和缓解流程正在改进。从暂停合同到协调恢复,改进协议安全性将是减少未来这些攻击影响的关键。