现实世界资产(RWA)再质押协议Zoth遭受了一次攻击,导致超过840万美元的损失,平台因此将其网站置于维护模式。
3月21日,区块链安全公司Cyvers标记了一笔可疑的Zoth交易。该公司表示,协议的部署者钱包被入侵,攻击者提取了超过840万美元的加密资产。
区块链安全公司表示,被盗资产在几分钟内被转换为DAI稳定币,并转移到另一个地址。
Cyvers补充说,协议的网站已因该事件进入维护状态。在一份安全通知中,平台确认发生了安全漏洞。协议表示正在尽快解决问题。
Zoth团队表示,他们正在与合作伙伴合作“减轻影响”并完全解决问题。平台承诺在调查完成后发布详细报告。
根据PeckShield的数据,自黑客攻击以来,攻击者已将资金转移并将资产兑换为以太坊(ETH)。
攻击可能由管理员权限泄露引起
Cyvers团队在一份声明中表示,该事件突显了智能合约协议的漏洞以及加强安全性的必要性。
Cyvers Alerts的高级SOC负责人Hakan Unal告诉Cointelegraph,管理员权限的泄露可能是此次攻击的原因。Unal表示,在攻击被检测到的约30分钟前,一个Zoth合约被升级为由可疑地址部署的恶意版本。
“与典型的漏洞利用不同,这种方法绕过了安全机制,并立即获得了对用户资金的完全控制权,”这位安全专家表示。
该安全专家告诉Cointelegraph,通过实施多重签名合约升级以防止单点故障、在升级上添加时间锁以允许监控,并为管理员角色变更设置实时警报,可以防止此类攻击。Unal还建议改进密钥管理以防止未经授权的访问。
尽管攻击可以预防,但Unal认为这种类型的攻击在去中心化金融(DeFi)领域可能仍然是一个问题。这位安全专家告诉Cointelegraph,管理员密钥的泄露仍然是DeFi生态系统中的“主要风险”。
“如果没有去中心化的升级机制,攻击者将继续针对特权角色来接管协议,”Unal补充道。
阅读原文
Cointelegraph: Hacker steals $8.4M from RWA restaking protocol Zoth
Zoth suffered an $8.4 million exploit after admin privileges were compromised. The team promised to publish a full incident report post-investigation.
相关词条
- RWA: 现实世界资产(Real-World Asset),指在区块链上代币化的现实世界资产,如房地产、商品等。
- Zoth: 一个现实世界资产再质押协议,允许用户通过质押现实世界资产获得收益。
- Cyvers: 一家区块链安全公司,专注于检测和防止区块链网络中的安全漏洞。
- DAI: 一种去中心化的稳定币,其价值与美元挂钩。
- DeFi: 去中心化金融(Decentralized Finance),指基于区块链技术的金融应用,旨在消除传统金融中介。
可能问题
- 什么是RWA再质押协议?
- 如何防止智能合约协议中的管理员权限泄露?
- 为什么DAI稳定币在黑客攻击中被使用?
- DeFi生态系统中的主要安全风险是什么?
