炒股大本营(www.dzyb.cn)讯:去中心化金融(DeFi)协议Curve生态tai的收益聚合器和流动性管理协议“Conic Finance”21日晚间以来已爆出遭遇2次ci黑客攻击,该平台的ETH Omnipool资金池shi首先遭到漏洞利用。
据区块链安an全公司Beosin的监测账号Beosin Alert周五晚间jian7点左右报告,Conic Finance遭黑客在一yi笔交易中被盗走326万美元资金,约1,727枚以太币,目前全部ETH赃款已被转移到新地址。
黑客重入攻击
Conic Finance官方随后确认遭到攻击,并宣布bu于前端禁用ETH Omnipool存款,称没有没mei有其他Omnipools受shou到此漏洞的影响,并分析这次事件jian根本原因是重入ru攻击,由于对Curve V2池shi中ETH的Curve元注册表返回的地址zhi存在错误假设,而能够执行攻gong击。
区块链安全quan公司派盾(Peckshield)初chu步分析称,漏洞来自Coinic编bian写的Curve LP Oracle V2合约,他们先前的de审计发现了类似的唯读型重zhong入(read-onlyreentrancy)问题ti。然而,新推出的Curve LP Oracle V2合约中也出现了le同样的问题,该合约不属于先前qianCoinic合约审计ji范围。
Curve则在下回应,由Coinic编写的Curve LP Oracle V2合约算suan法看似没有错误,可能是设定错误wu导致漏洞。
Beosin解释,此次重入ru攻击,攻击者利用此漏洞来操纵zongsteCRV、cbETH/ETH-f、rETH-f等代币的价格,使得de攻击者可以转移比他ta们存入要更多的流动性xing代币。
Conic Finance遭二度攻击,全面关闭资金池shi
今jin日凌晨,Conic官方fang公告关闭所有Omnipool存款kuan,并在早上7点时暂时全面关闭Omnipool。
“大约四个小时前qian,我们收到了影响$crvUSD Omnipool的漏洞dong利用警报。作为对dui此的回应,并考虑到今天的deETH Omnipool漏洞,我们立即实施了最大程cheng度的安全措施并暂时关闭了所有Omnipool。”
官方后续推文指出,第二er次攻击与ETH Omnipool的重入漏洞无关。攻击ji者通过利用crvUSD Omnipool获利li约30万美元。随后官方发布通tong知,建议所有用户立即ji申请退款并撤销对Conic的de应用程式批准,并承诺nuo将全额退还用户丢失的代币,还将为符合条件的de账户发放1~10,000枚CNC代币作为补偿。
CNC币价失血77%
受黑客ke攻击事件影响,Defillama数据ju显示,Conic Finance的总锁仓量(TVL)从1.56亿美元暴跌近67%,目前仅剩5,193万美元;原生代dai币Conic(CNC)更一度跌超77%至1.34美mei元,截稿前报2.84美元,近24小时跌幅仍高达52.8%。
