对冲金融 - Rekt

两头押注不是一个好策略。

对冲金融在 Arbitrum 和以太坊平台上遭受了 4470 万美元的闪电贷攻击。

该漏洞首先由 Cyvers 报告，并在几个多小时后得到 Hedgey 团队的确认。

Hedgey 告知社区，他们正在调查对 Hedgey 代币赎回合约的攻击。敦促已创建有效赎回的用户使用“结束代币赎回”按钮取消赎回，以减少更多损失发生。

Hedgey称自己为“排名第一的代币归属和锁定工具”。该平台为链上团队提供代币基础设施。

锁定工具似乎不够安全，因为黑客从以太坊合约中窃取了价值超过 210 万美元的资产，其中包括USDC、NOBL和MASA代币。

在 Arbitrum 链上，攻击者能够窃取价值约 4260 万美元的BONUS代币。

NobleBlocks（NOBL）向其社区提供了详细的安全报告。 Bonus Block（BONUS）简短地发布了“我们的资金是安全的”，MASA 似乎更关心主持Twitter Spaces，而不是向社区通报该漏洞。

随着尘埃落定，一个大问题依然存在：Hedgey 所吹嘘的安全性为何会遭遇如此灾难性的重创？

图片来源：Cyvers、Hedgey Finance、NobleBlocks、Blocksec

4 月 19 日，Hedgey Finance 遭受攻击，黑客进行了一系列交易，导致以太坊主网损失 210 万美元，Arbitrum 网络损失 4260 万美元资产，总计约 4470 万美元。

该漏洞的根本原因是对用户参数缺少输入验证，这使得攻击者能够操纵并获得未经授权的令代币批准。

攻击者从 Balancer 获取了 130 万美元的 USDC 闪电贷，攻击并操纵了合约函数claimLockup内的参数createLockedCampaign，欺骗该“脆弱”的合约批准将USDC 代币转移到攻击合约的行为。

第二步，攻击者利用该批准漏洞将USDC转给自己。

上述两步分别在两笔不同的交易中执行，可能是害怕交易被机器人抢跑。

在检查易受攻击合约的提交记录后，确认根本原因是未验证的用户输入；对用户传递的参数缺乏验证，导致代币被批准转给攻击者的合约。

以太坊上的黑客地址： https://etherscan.io/address/0xded2b1a426e1b7d415a40bcad44e98f47181dda2

以太坊攻击合约： https://etherscan.io/address/0xc793113f1548b97e37c409f39244ee44241bf2b3

以太坊上的被攻击合约： https://etherscan.io/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

Arbitrum上的利用者地址：

https://arbiscan.io/txs?a=0xc7241e27ee4b8d32b59a10e848b48530047a8c5b

Arbitrum 攻击合约：

https://arbiscan.io/txs?a=0xbb52f1723ddf2c84ba2668f4e04712f572cbf780

Arbitrum 上的被攻击合约： https://arbiscan.io/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511

资金目前被存放在这里。

Hedgey向攻击者发送了一条链上消息，希望与其取得联系并商讨后续步骤。他们假设这是一个白帽子，甚至告诉他们“干得好”，找到了漏洞。

谢谢你抢了我们的钱，你是好人之一，对吧？

Consensys Diligence 于 2023 年 6 月和 7 月审核了 Hedgey 的代币锁定和兑现计划。

无论是白帽子还是黑帽子，都没有关系，还是有人骗走了 4470 万美元。

称盗窃行为“干得好”难道不是对每一个资金被盗的用户的侮辱吗？

虽然 Hedgey 赞扬了攻击者的技术，并希望他们是白帽黑客，但近 4500 万美元实打实的损失暴露了他们安全实践中的惊人漏洞。

Hedgey Finance 面临着一场的重建信任的艰苦战斗，首要任务就是要进行全面的安全检修。

Hedgey Finance 可能需要执行一次全面的安全改造，加强输入验证，加强访问控制，并进行严格的审核，以防止历史重演。

由于数百万美元的损失和信任的动摇，复苏信任之路将是一条漫长而充满挑战的道路。

通过审查其安全实践，并从这些代价高昂的错误中吸取教训，Hedgey 可以开始艰开始艰难的重建信誉和恢复去中心化金融社区内的信任之旅。

去中心化金融领域是创新的温床，但也不断提醒人们，风险很高，疏忽的后果可能是非常严重的。

对于 Hedgey 来说，此次攻击是一个警示故事，也是一个提醒，即安全必须始终是最优先的事项。

问题仍然是：Hedgey 能否自我救赎并重新获得用户的信任，或者它在 DeFi 世界中的地位会经由此一落千丈？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。