Key Takeaways
- Transit Finance 將全額賠付用戶因 5 月 11 日安全公司 PeckShield 率先發現的 188 萬美元 DAI 攻擊所遭受的損失。
- 此次漏洞源於 TRON 網絡上一個已棄用的智能合約,該協議目前的合約依然安全。
- 此事件加劇了 DeFi 安全的嚴峻形勢,4 月份主要協議漏洞造成的損失總計超過 6 億美元。
跨鏈聚合器 Transit Finance 將在攻擊者從 TRON 網絡上的一個已棄用智能合約中竊取 188 萬美元 DAI 穩定幣後,向用戶提供全額賠付。
區塊鏈安全公司 PeckShield 在 5 月 11 日首次發現該漏洞後,在 X 平台上發布帖子稱:「被盜資金目前存放在以下 $DAI 地址中:0x8a634DfA2609358849D7D65FFA270C8A57a8abA5。」
此次漏洞僅限於 Transit Swap 智能合約的一個舊版本,該版本在 2022 年後就已棄用且處於非活動狀態。Transit Finance 在 5 月 12 日確認了該漏洞,聲明當前協議是安全的,受影響用戶無需採取任何行動即可獲得賠付。根據行業安全報告,被盜資金僅佔 4 月份 DeFi 攻擊損失(超過 6 億美元)的一小部分,該月主要被 Kelp DAO(2.93 億美元)和 Drift Protocol(2.8 億美元)的黑客攻擊所佔據。
此次事件凸顯了 DeFi 領域舊代碼持續存在的風險,即使在正式停用後,舊的智能合約仍可能成為易受攻擊的目標。雖然全額賠付的承諾可能會安撫用戶,但這再次提醒人們智能合約安全責任的沉重代價。在此之前,Transit Finance 曾於 2022 年 10 月遭遇過一次規模大得多的 2890 萬美元攻擊,那是由於其交換機制中的輸入驗證缺陷造成的。當時的部分資金後來被追回。
本文僅供參考,不構成投資建議。
