加密貨幣安全研究人員發現並消除了影響數千個智能合約的重大威脅,可能阻止了超過 1000 萬美元的加密貨幣被盜。週四,化名 Venn Network 研究員 Deeberiroz 在 X 平台上發文表示,一個後門漏洞已悄悄威脅生態系統數月。該研究人員表示,該漏洞針對未初始化的 ERC-1967 代理合約,允許他們在合約被正確設置之前劫持合約。Venn Network 於週二發現了該漏洞,觸發了一項為期 36 小時的救援行動,其中包括多位開發人員,包括安全研究員 Pcaversaccio、Dedaub 和 Seal 911,他們共同評估受影響的合約並轉移或保護易受攻擊的資金。Venn Network 的聯合創始人兼總裁 Or Dadosh 告訴 Cointelegraph,攻擊者搶先執行合約部署並注入惡意實施。「簡而言之,攻擊者利用某些部署,使他們能夠在數千個合約中放置一個隱藏良好的後門」,Dadosh 告訴 Cointelegraph,並補充說攻擊者可以在任何時候接管易受攻擊的合約。攻擊發生後,駭客擁有了數月未被發現、無法移除的後門。一旦合約被初始化,它就會使惡意活動幾乎隱形。安全研究人員在行動期間對漏洞保密,從而成功地智取了攻擊者,並成功進行了救援。Deeberiroz 表示,幾個去中心化金融 (DeFi) 協議能夠在攻擊者吸走資產之前及時採取行動,保護了數十萬美元的加密貨幣。「我們發現可能有數千萬美元的風險」,Dadosh 說。「但更可怕的是,如果這種情況持續發展,參與協議持有的整體 TVL [total value locked] 中較大部分可能會受到威脅。」受影響的協議包括 Berachain,其團隊通過暫停受影響的合約來做出回應。週四,Berachain 基金會意識到潛在的漏洞,暫停了其激勵聲明合約,並將其資金轉移到一個新的合約。「沒有用戶資金處於風險之中,也沒有損失」,Berachain 基金會在 X 平台上寫道。「激勵將在接下來的 24 小時內再次可以聲明,因為用於分配的 merkles 正在重新創建。」相關文章:巴西中央銀行服務提供商遭到駭客攻擊,1.4 億美元被盜 Venn Network 安全研究員 David Benchimol 懷疑臭名昭著的北韓駭客組織 Lazarus 參與了這次攻擊。Benchimol 告訴 Cointelegraph,「攻擊向量非常複雜,並且部署在每個 EVM 鏈上。」該研究人員還指出,攻擊者在發動攻擊之前一直在等待更大的目標,這使得它更有可能來自有組織的團體。儘管如此,Benchimol 告訴 Cointelegraph,目前還無法確認 Lazarus 參與了這次攻擊。雜誌:Coinbase 駭客事件表明法律可能無法保護你——原因如下