Aftermath 已确认其永续合约协议遭受漏洞攻击,成为本月 DeFi 领域遭受大规模损失以来最新的安全事件。
团队表示,该问题源于一个允许设置负数构建者费用的缺陷,导致损失约$1.14m。协议已作为预防措施暂停运行,而未受影响的产品则继续正常运营。
此次事件进一步加剧了整个四月份更广泛的漏洞攻击模式,大规模故障与较小的漏洞同时影响多个协议。
重大漏洞攻击主导四月损失
两起事件占本月报告损失的大部分。
Kelp DAO 的 rsETH 相关漏洞攻击引发了其中最大的一次冲击,预计影响达~$292m。该问题涉及通过跨链桥相关漏洞铸造无抵押资产,随后扩散至多个集成协议。
虽然资金并非以传统方式被耗尽,但此次事件造成了系统性风险,尤其对持有该资产的借贷平台影响较大。
另一起重大事件涉及Drift Protocol,一次与抵押品操纵及管理员权限相关的攻击造成了重大损失。报告估计影响达数亿美元,尽管此次攻击的结构与典型漏洞攻击有所不同。
这些事件合计占四月份报告损失的大部分,总额超过 $600m,依据现有追踪数据。
中等规模漏洞攻击持续涌现
除最大规模的案例外,多起中等规模漏洞攻击也对本月的损失总额有所贡献。
Rhea Finance 在遭受涉及欺诈性代币合约和预言机操纵的攻击后,损失约$7.6m。
Grinex Exchange 报告了约~$13.7m 的钱包资金被盗事件,影响多个地址。
GiddyDefi 因与签名重放机制相关的授权验证缺陷损失了约$1.3m。
CoW Swap 也遭遇了约~$1.2m 的事件,起因为域名劫持攻击,凸显了智能合约漏洞之外的其他风险。
较小规模事件揭示持续存在的弱点
生态系统中还报告了多起较小规模的漏洞攻击。
Silo Finance、Aethir 和 Dango 各自遭受了与预言机配置错误、访问控制问题或合约漏洞相关的损失。在某些情况下,例如 Dango,资金后来通过白帽介入得以追回。
更近期,Scallop 和 Volo Protocol 分别披露了涉及合约逻辑缺陷和私钥泄露的事件。尽管这些案例规模较小,但它们强化了 DeFi 不同层面漏洞出现的频率。
碎片化的风险格局
综合来看,四月份的事件揭示了一个碎片化的风险环境,而非单一的故障节点。
漏洞攻击发生于以下多个层面:
- 智能合约逻辑
- 密钥管理系统
- 域名基础设施
- 跨链桥
- 协议设计参数
这种蔓延态势表明,DeFi 中的风险并不局限于代码漏洞,还延伸至运营安全和系统架构。
最终总结
- Aftermath 漏洞攻击进一步加剧了四月份的事件浪潮,报告损失超过 $600m,主要由少数重大事件驱动。
- 合约漏洞、密钥泄露和基础设施风险的混合态势,凸显了 DeFi 安全挑战的多层次性质。
Source: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
