加密安全研究人员发现并消除了一个影响数千个智能合约的重大威胁,可能避免了超过 1000 万美元的加密货币被盗。周四,化名 Venn Network 研究员 Deeberiroz 在 X 平台上发文称,一个后门漏洞已悄然威胁生态系统数月。该研究人员表示,该漏洞针对的是未初始化的 ERC-1967 代理合约,允许他们在合约被正确设置之前劫持合约。Venn Network 于周二发现了该漏洞,并启动了一项为期 36 小时的救援行动,其中包括安全研究员 Pcaversaccio、Dedaub 和 Seal 911 等多位开发人员,他们共同评估受影响的合约,并转移或保护易受攻击的资金。Venn Network 的联合创始人兼总裁 Or Dadosh 告诉 Cointelegraph,攻击者抢先部署合约并注入恶意实现。“最简单地说,攻击者利用某些部署,使他们能够在数千个合约中放置一个隐藏良好的后门,”Dadosh 告诉 Cointelegraph,并补充说,攻击者可以在任何时候接管易受攻击的合约。攻击发生后,黑客拥有一个未被发现、无法移除的后门长达数月之久。一旦合约被初始化,恶意活动几乎变得不可见。安全研究人员在行动期间对该漏洞保密,从而成功地战胜了攻击者,并成功进行了救援。Deeberiroz 表示,一些去中心化金融 (DeFi) 协议能够在攻击者吸走资产之前及时采取行动,从而保护了数十万美元的加密货币。“我们发现可能有数千万美元面临风险,”Dadosh 说。“但更可怕的是,这种情况可能会持续增长,并且相关协议持有的更大一部分 TVL [总锁定价值] 可能会受到威胁。”受影响的协议包括 Berachain,其团队通过暂停受影响的合约做出了回应。周四,Berachain 基金会意识到了潜在的漏洞,暂停了其激励申领合约,并将资金转移到了新合约。“没有用户资金面临风险,也没有损失,”Berachain 基金会在 X 上写道。“激励将在未来 24 小时内再次可以申领,因为用于分配的 merkles 正在重新创建。”相关报道:巴西中央银行服务提供商遭到黑客攻击,1.40 亿美元被盗 Venn Network 安全研究员 David Benchimol 怀疑臭名昭著的朝鲜黑客组织 Lazarus 参与了此次攻击。Benchimol 告诉 Cointelegraph,“攻击媒介非常复杂,并且部署在每个 EVM 链上。”该研究人员还指出,攻击者在发动攻击之前一直在等待更大的目标,这使得它更有可能来自有组织的团体。尽管如此,Benchimol 告诉 Cointelegraph,目前尚无法确认 Lazarus 参与了此次攻击。《杂志》:Coinbase 黑客事件表明法律可能无法保护你——原因如下 [Odaily星球日报]