Bedrock DeFi 透過智慧合約漏洞攻擊 uniBTC 170 萬美元



Bedrock DeFi 是一種基於比特幣的 DeFi 協議,具有打包資產,已被抽走 170 萬美元。 uniBTC 失竊事件發生在 Onyx Finance 遭受攻擊一天後。

Bedrock DeFi 在 uniBTC 中被槓桿化了 170 萬美元,因為重新獲得的資金池透過智慧合約漏洞被耗盡。在研究了這次攻擊後,Bedrock 關閉了有問題的智能合約,防止進一步的攻擊。駭客能夠無限制地鑄造 uniBTC,從而可能暴露所有相關的交易池和交易對。

這個漏洞最初是由 Dedaub 的分析團隊發現的,他們立即嘗試聯繫 Bedrock 開發人員。然而,不到三個小時後,另一名攻擊者應用了該知識並創建了多餘的 uniBTC。

Bedrock DeFi 宣布該漏洞僅影響 uniBTC,這是 BTC 的另一種代幣化形式。基礎儲備仍然安全,協議已經解決了問題。該平台持有超過 2.43 億美元的資產,這些資產來自各種網絡,包括比特幣和以太坊。 Bedrock DeFi 旨在提供多鏈流動性重新質押,閒置資產可以賺取被動收入。

代幣化的uniBTC資產是以太坊鏈上的ERC-20合約。打包後的 BTC 存放在 3,552 個地址中,總市值為 7540 萬美元。漏洞發生後,一些去中心化貨幣對立即發生了非同尋常的行為。

總共有 8 個網路上有 uniBTC 的版本,Pendle 等一些協議與 Corn 協議相關的資產風險敞口高達 3000 萬美元。類似的存在漏洞的 uniBTC 鑄造合約正在對以太坊、幣安、Arbitrum、Optimism 主網、Mantle、Mode、BOB 和 ZetaChain 造成威脅。 Dedaub 研究人員警告 Pendle,他阻止了大部分鎖定價值被用作退出流動性。

uniBTC 駭客事件在去中心化交易所引起了一定的蔓延。其中一個 Uniswap V3 池的價格暴跌至17,889.15 美元,而另一對則以較小的折扣交易至 62,311.48 美元。該去中心化貨幣對的 Optimism 版本已暴跌90%,跌破 18,000 美元。該資產甚至創下 5,741.48 美元的新低。由於貨幣對的流動性較低,拋售壓力普遍存在,阻止了套利嘗試。

互換利率的實際崩潰可能對協議造成了更大的損害,甚至造成聲譽受損。在駭客攻擊發生數小時後,uniBTC 尚未恢復與 WBTC 的平價,而 WBTC 構成了大部分交易對。

與其他漏洞一樣,社群媒體上的虛假評論也需要使用撤銷網站。錢包用戶面臨此類惡意連結帶來的額外風險,這可能會耗盡剩餘資源。

駭客利用了 Bedrock 對 uniBTC 合約的調用

這個漏洞影響了代幣化的 uniBTC,它受到實際 BTC 和 WBTC 的支持。 Dedaub 等研究人員表示,他們注意到了利用 Bedrock 的潛在功能,但駭客攻擊發生在警報發出後數小時內。

Dedaub 指出,惡意行為者可以創建無限的uniBTC並攻擊去中心化的金庫和貨幣對。這次攻擊可能會影響 Pendle 和 Corn 以及 Bedrock DeFi。攻擊者可以存入少量 ETH 並以不同的匯率鑄造 uniBTC。新鑄造的資產將是完全可轉讓的,並且可以在 Uniswap 或其他去中心化協議上轉售為多個 WBTC。

另一位研究員 Chaofan Shou 指出,uniBTC 合約容易受到函數呼叫的影響。風險總額在分析前幾個小時就被耗盡。

智慧合約呼叫仍然是最大的風險之一,尤其是在增加 DeFi 協定鎖定的價值之後。針對 Bedrock DeFi 的攻擊發生時,該協議的鎖定總價值接近2.43 億美元的歷史新高

拯救該協議的是質押的非託管性質,它允許駭客竊取打包資產並影響 DEX 流動性池,但不會影響基礎儲備。打包的 BTC 通常使用冷錢包,並且不容易轉換回原始資產。

Bedrock 使用 Babylon Labs 和 Eigen Layer 來實現其獎勵結構。這些協議可以安全地釋放 BTC 和 ETH 的價值,而不直接使資產面臨風險。創建的uniBTC也可以用於Pendle和Velodrome以獲得被動回報。

最近幾週的大多數攻擊都是針對基於以太坊的 DeFi。目前的攻擊影響了比特幣衍生資產,儘管它仍然使用以太坊區塊鏈進行大多數價值轉移。

克里斯蒂娜·瓦西列娃 (Hristina Vasileva) 的加密都市報告文學