一名黑客通過鑄造任意數量的存款收據代幣,從去中心化金融 (DeFi) 協議 Delta Prime 中竊取了超過 600 萬美元。

根據區塊瀏覽器 Arbiscan 的數據,攻擊者在初始攻擊中鑄造了超過 115 duovigintillion 個 Delta Prime USD (DPUSDC) 代幣,以科學計數法表示爲超過 1.1*10^69。

DPUSDC 是 Delta Prime 持有的 USDC (USDC) 穩定幣的存款收據。它旨在以 1:1 的比例兌換 USDC。

儘管鑄造瞭如此大量的 USDC 存款收據,但攻擊者僅銷燬了其中的 240 萬張,並獲得了價值 240 萬美元的 USDC 穩定幣。

攻擊者鑄造了大量 DPUSDC 代幣並贖回了其中的一些。資料來源:Arbiscan。

攻擊者隨後對其他存款收據代幣重複了這些步驟,鑄造了超過 1 千萬億 Delta Prime 包裝的比特幣 (DPBTCb)、1.15 億億 Delta Prime 包裝的以太幣 (DPWETH)、1.15 億億 Delta Prime Arbitrum (DPARB) 和許多其他存款收據代幣,最終兌換了鑄造金額的一小部分,獲得了價值超過 100 萬美元的比特幣 (BTC)、以太幣 (ETH)、Arbitrum (ARB) 和其他代幣。

據區塊鏈安全專家 Chaofan Shou 稱,攻擊者迄今已竊取了約 600 萬美元的資金。


Source: Chaofan Shu.

攻擊者首先控制一個以 b1afb 結尾的管理員賬戶,然後才能鑄造這些存款收據代幣,他們很可能是通過竊取開發者的私鑰來實現的。利用這個賬戶,他們在每個協議的流動性池合約上調用了一個“升級”功能。

這些函數旨在用於軟件升級。它們允許開發人員通過讓代理指向不同的實現地址來更改合約中的代碼。

然而,攻擊者利用這些函數將每個代理指向攻擊者創建的惡意合約。每個惡意合約都允許攻擊者鑄造任意數量的存款收據,從而有效地讓他們耗盡每個資金池。

Delta Prime 攻擊者升級合約。資料來源:Arbiscan。

Delta Prime 在 X 帖子中承認了此次攻擊,並表示“歐洲中部時間上午 6:14,DeltaPrime Blue (Arbitrum) 遭到攻擊,損失達 598 萬美元。”

該公司聲稱 Avalanche 版本 DeltaPrime Blue 不易受到攻擊。該公司還表示,該協議的保險“將在可能/必要時承保任何潛在損失”。

Delta Prime 攻擊說明了 DeFi 協議使用可升級合約的風險。

Web3 生態系統旨在防止私鑰黑客利用整個協議。

理論上,攻擊者需要竊取每個用戶的私鑰才能耗盡整個協議。然而,當合約可升級時,它會引入中心化風險,這可能導致整個用戶羣失去資金。

即便如此,一些協議仍認爲放棄升級能力可能比其他選擇更糟糕,因爲它可能會阻止開發人員修復部署後發現的錯誤。Web3 開發人員仍在爭論協議何時應該允許升級,何時不應該允許升級。

智能合約漏洞繼續對 Web3 用戶構成威脅。9 月 11 日,一名攻擊者使用一行模糊的代碼從 CUT 代幣流動性池中盜取了超過 140 萬美元,該代碼指向另一份合約中未經驗證的函數。

9 月 3 日,攻擊者成功將自己的惡意合約註冊爲代幣市場,導致 Penpie 協議中損失了超過 2700 萬美元。