一名白帽黑客最近利用智能合约漏洞攻击了 Arbitrum 上的 Moby Trade 期权协议,成功盗取了价值 147 万美元的 USDC。虽然道德黑客没有提到该协议,但后来被确定为 Moby 期货市场。
就在一天前,Orange Finance 和 Stryke Protocol 也发现了类似的漏洞,即通过利用智能合约劫持资金。
2025 年的首批重大漏洞之一已被一名白帽链上程序员部分逆转。显然,在黑客获得智能合约访问权限后,它仍然允许第三方进行更改并耗尽资金。
这是黑客获得控制权并更改智能合约的第二次攻击。这些攻击在连续两天内影响了协议,到目前为止,Orange Finance、Stryke协议和Moby Trade都受到影响。
链上专家@tonykebot,Solayer Labs的开发者,成功追回了150万美元的USDC,尽管在干预之前,利用者仍然带走了WETH和WBTC。
在发现漏洞的那一刻,易受攻击的合约中包含了147万美元的USDC、3.7个WBTC和206.9个WETH。最初的报告是部分资金被抽取,主要是WETH被转移到主网络并兑换。
被盗的金额指向Moby Finance,这是一个为Arbitrum和Berachain提供流动性的应用程序。到目前为止,尚未发现这两起事件之间的联系,尽管它们在攻击锁定有显著流动性的合约时采取了类似的方法。
我们刚刚自动黑掉了黑客,救回了140万USDC!
100%的资金已归还给项目所有者
> 🧵 这是黑客被白帽黑客攻击的方式 pic.twitter.com/R3SF5hIZnh
— Tony KΞ (@tonykebot) 2025年1月9日
虽然分析师没有提到协议或漏洞的原因,但他们成功追踪并恢复了Arbitrum L2链上的资金。白帽黑客呼叫了被攻陷的合约,将一些资金安全保管。
链上研究人员和Solayer labs开发者邵超凡也注意到了这笔交易,并在几小时前确认了白帽方法。
对Moby协议的黑客攻击在一次交易中被阻止,节省了总计147万美元。
早期攻击的受害者,Orange Finance和Stryke,也向他们的黑客发送了信息,尽管到目前为止,唯一被拯救的资金来自冻结的合约。
Moby Finance告知用户撤销权限
与Orange Finance的黑客攻击类似,Moby Finance敦促用户停止与其合约交互,并通过合法链接撤销权限。
由于Moby Finance上的一些资金与去中心化交易和期权头寸相关,该应用程序据报道已准备以最优惠的价格补偿用户。在初步攻击后,提款和存款被关闭,但当它们重新开放时,该项目将通过其金库确保足够的提款流动性。
最初,协议原定于本周四再次开放,但将保持不活跃更长时间以进行全面调查。除了吸引链上研究人员和道德黑客外,Moby Finance还在与国家当局合作,以进行更彻底的调查。
基于Arbitrum的Orange Finance指责私钥被泄露
Orange Finance指出私钥泄露是漏洞的主要来源,并表示这就是黑客能够对合同进行更改的原因。来自合同的约50%的TVL在Stryke协议上得到了保障,该协议也已停止存款和取款。
虽然直接的损失金额在加密界相对较小,但Orange Protocol仍然是Arbitrum生态系统的关键。该链在其DeFi协议中锁定了29.3亿美元,共有672个不同规模的协议。
Arbitrum在更小的规模上镜像以太坊区块链应用程序,同时携带Aave(AAVE)、Uniswap和其他借贷和DEX协议的版本。
最大的损失可能由Orange Finance和Stryke流动性提供者承担,他们无法控制自己的股份。合同将保持锁定,无法进行存款或取款。然而,白帽黑客正在准备安全地重新分配资金。
在新闻发布后,ARB代币以每周的最低区间交易,价格为0.76美元。Arbitrum仍然是最具流动性的稳定币托管方,持有62.8亿美元的各种代币。Arbitrum的DeFi协议已经吸引了黑客,今年已经报告了各种网络钓鱼和智能合约攻击。
启动您的Web3职业并在90天内找到高薪加密工作的逐步系统。
