Bedrock DeFi 是一種基於比特幣的 DeFi 協議,具有打包資產,已被抽走 170 萬美元。 uniBTC 失竊事件發生在 Onyx Finance 遭受攻擊一天後。
Bedrock DeFi 在 uniBTC 中被槓桿化了 170 萬美元,因為重新獲得的資金池透過智慧合約漏洞被耗盡。在研究了這次攻擊後,Bedrock 關閉了有問題的智能合約,防止進一步的攻擊。駭客能夠無限制地鑄造 uniBTC,從而可能暴露所有相關的交易池和交易對。
這個漏洞最初是由 Dedaub 的分析團隊發現的,他們立即嘗試聯繫 Bedrock 開發人員。然而,不到三個小時後,另一名攻擊者應用了該知識並創建了多餘的 uniBTC。
Bedrock DeFi 宣布該漏洞僅影響 uniBTC,這是 BTC 的另一種代幣化形式。基礎儲備仍然安全,協議已經解決了問題。該平台持有超過 2.43 億美元的資產,這些資產來自各種網絡,包括比特幣和以太坊。 Bedrock DeFi 旨在提供多鏈流動性重新質押,閒置資產可以賺取被動收入。
代幣化的uniBTC資產是以太坊鏈上的ERC-20合約。打包後的 BTC 存放在 3,552 個地址中,總市值為 7540 萬美元。漏洞發生後,一些去中心化貨幣對立即發生了非同尋常的行為。
總共有 8 個網路上有 uniBTC 的版本,Pendle 等一些協議與 Corn 協議相關的資產風險敞口高達 3000 萬美元。類似的存在漏洞的 uniBTC 鑄造合約正在對以太坊、幣安、Arbitrum、Optimism 主網、Mantle、Mode、BOB 和 ZetaChain 造成威脅。 Dedaub 研究人員警告 Pendle,他阻止了大部分鎖定價值被用作退出流動性。
uniBTC 駭客事件在去中心化交易所引起了一定的蔓延。其中一個 Uniswap V3 池的價格暴跌至17,889.15 美元,而另一對則以較小的折扣交易至 62,311.48 美元。該去中心化貨幣對的 Optimism 版本已暴跌90%,跌破 18,000 美元。該資產甚至創下 5,741.48 美元的新低。由於貨幣對的流動性較低,拋售壓力普遍存在,阻止了套利嘗試。
互換利率的實際崩潰可能對協議造成了更大的損害,甚至造成聲譽受損。在駭客攻擊發生數小時後,uniBTC 尚未恢復與 WBTC 的平價,而 WBTC 構成了大部分交易對。
與其他漏洞一樣,社群媒體上的虛假評論也需要使用撤銷網站。錢包用戶面臨此類惡意連結帶來的額外風險,這可能會耗盡剩餘資源。
駭客利用了 Bedrock 對 uniBTC 合約的調用
這個漏洞影響了代幣化的 uniBTC,它受到實際 BTC 和 WBTC 的支持。 Dedaub 等研究人員表示,他們注意到了利用 Bedrock 的潛在功能,但駭客攻擊發生在警報發出後數小時內。
Dedaub 指出,惡意行為者可以創建無限的uniBTC並攻擊去中心化的金庫和貨幣對。這次攻擊可能會影響 Pendle 和 Corn 以及 Bedrock DeFi。攻擊者可以存入少量 ETH 並以不同的匯率鑄造 uniBTC。新鑄造的資產將是完全可轉讓的,並且可以在 Uniswap 或其他去中心化協議上轉售為多個 WBTC。
另一位研究員 Chaofan Shou 指出,uniBTC 合約容易受到函數呼叫的影響。風險總額在分析前幾個小時就被耗盡。
您可以使用 ItyFuzz 產生功能齊全的漏洞程序,從@Bedrock_DeFi uniBTC 竊取高達 170 萬美元。
而您所需要的只是一個 CPU 核心 + 0.5 秒。 pic.twitter.com/SMMD1MSbvT
— 壽超凡 (@shoucccc) 2024 年 9 月 27 日
智慧合約呼叫仍然是最大的風險之一,尤其是在增加 DeFi 協定鎖定的價值之後。針對 Bedrock DeFi 的攻擊發生時,該協議的鎖定總價值接近2.43 億美元的歷史新高。
拯救該協議的是質押的非託管性質,它允許駭客竊取打包資產並影響 DEX 流動性池,但不會影響基礎儲備。打包的 BTC 通常使用冷錢包,並且不容易轉換回原始資產。
Bedrock 使用 Babylon Labs 和 Eigen Layer 來實現其獎勵結構。這些協議可以安全地釋放 BTC 和 ETH 的價值,而不直接使資產面臨風險。創建的uniBTC也可以用於Pendle和Velodrome以獲得被動回報。
最近幾週的大多數攻擊都是針對基於以太坊的 DeFi。目前的攻擊影響了比特幣衍生資產,儘管它仍然使用以太坊區塊鏈進行大多數價值轉移。
克里斯蒂娜·瓦西列娃 (Hristina Vasileva) 的加密都市報告文學