8 月 7 日,去中心化金融 (DeFi) 应用程序 Steadefi 在一次持续的攻击中被利用,损失至少 334,000 美元。该应用程序的开发团队 在社交媒体帖子中表示,此次攻击目前“使所有资金面临风险”。根据 DefiLlama 的数据,该应用程序的锁定总价值因攻击而暴跌。
Steadefi 团队向 X(以前称为 Twitter)发布了一条消息,指出:“注意:Steadefi 已被利用,所有资金目前都面临风险。”该团队还确认,一条链上消息已发送到以太坊上的地址 0x9cf71F2ff126B9743319B60d2D873F0E508810dc尝试与攻击者谈判。区块链数据显示,自世界标准时间下午 4:41 开始,大量资金流入 Avalanche 链上的该地址。
转入该地址的代币包括130,429 USDCoin、3.39比特币、15 个WETH和 6,184 个 Avalanche (AVAX)。除了WETH之外,所有其他代币都立即兑换为WETH。然后,被指控的攻击者 通过 Synapse 桥将 184 WETH连接到另一个网络。
该地址似乎还在Arbitrum 网络上执行了一系列类似的交易。以太坊区块链数据显示,开发团队已向攻击者发送消息,提出让黑客保留据称被盗资金的 10%。
Steadefi 团队确认攻击后,向 X 发布了一条后续消息, 解释了攻击是如何发生的。据报道,攻击者窃取了团队部署者钱包的私钥,授予执行所有者功能的访问权限。然后,剥削者“继续采取各种仅限所有者的行动,例如允许任何钱包能够从借贷金库借入任何可用资金。”
所有可贷资金已被攻击者耗尽。然而,存放在金库中且未借出的抵押品并未被耗尽,因为该应用程序不包含删除存款的ownerOn功能。因此,存入策略金库的用户仍然可以提取至少部分资金。
另一方面,攻击者使用 OwnerOn 函数暂停农业合约。因此,将 svToken 或 ioken 存入农场的用户无法提取,他们的资金本质上被困在应用程序的合约中。根据该帖子,这些代币的大多数持有者已存入农场,无法提取。
漏洞利用一直是 DeFi 领域持续存在的问题。8 月 8 日,总部位于爱沙尼亚的加密支付公司 CoinsPaid 表示,攻击者通过虚假求职面试窃取了 3700 万美元。8 月 4 日,Curve 协议被利用,损失了 6100 万美元,尽管攻击者后来开始返还部分资金。
