DeFi奖励系统遭入侵,资产安全再响警钟
近期,去中心化金融领域再起波澜。一个基于以太坊的DeFi项目其核心奖励发放功能被恶意利用,导致价值约21.5万美元的数字资产被盗。这一事件暴露了多签授权机制在特定场景下的潜在风险。
攻击手法剖析:权限的沦陷
据了解,该项目的奖励系统采用了一种需要双密钥协同操作的机制。一份经过Merkle树验证的奖励名单,需要由一把“提交密钥”发起,再由另一把独立的“批准密钥”进行最终确认。
然而,攻击者设法同时掌控了这两把本应分属不同权限的运营私钥。利用这一至高权限,攻击者执行了以下操作:
- 伪造名单:提交了一份仅将奖励定向发放至自己地址的欺诈性名单。
- 自我批准:随即使用另一把密钥迅速批准了该名单。
- 快速提现:利用一个空证明完成验证,瞬间提取了巨额奖励。
被盗资产主要来源于三个独立的奖励池,包括大量的项目原生代币FLUID、稳定币GHO以及少量封装比特币。得手后,攻击者迅速将这些资产兑换为以太坊,并通过隐私工具转移,试图掩盖资金流向。
项目响应与行业反思
万幸的是,此次攻击似乎仅限于奖励分发模块。项目的核心功能,如借贷市场、资金库、去中心化交易所以及用户的存款资产,均未受到影响。
项目团队在攻击发生后的约10小时内做出了响应,紧急更换了受损的密钥,并将奖励池中的剩余资金转移至安全地址。然而,其对社区的公开通告颇为谨慎,仅声称“奖励领取功能因系统升级暂停”,并未详细说明私钥泄露的具体过程及实际损失金额。
此次事件再次为DeFi领域敲响了安全警钟。它凸显了即使采用了多签等安全机制,如果权限管理存在集中化风险或操作流程存在缺陷,依然可能被内部或外部攻击者钻空子。智能合约审计、严格的私钥管理与分散化操作流程,仍是保障用户资产安全的基石。