autorenew

meme-insider.com LOGO Meme Insider

Andre Cronje 的 SIL 代币漏洞:以太坊合约因访问控制缺陷被抽走 $120K

Andre Cronje 的 SIL 代币漏洞:以太坊合约因访问控制缺陷被抽走 $120K

在瞬息万变的加密世界里,meme 代币和 DeFi 项目像雨后蘑菇般涌现,但安全始终是王道。最近,BlockSec 的 Phalcon 团队在以太坊上发现了与 SIL 代币相关的一些可疑活动——SIL 是由 DeFi 先驱 Andre Cronje 在大约四年前创建的项目。攻击者利用两个未公开源码的智能合约的弱点,成功抽走了大约 $120,000。如果你关心 meme 代币或区块链技术,这次事件是个提醒:适当的防护措施很重要。

我们把事情简化说明。受害合约由同一地址部署但未开源,存在关键函数 approveERC20withdrawAll 却没有任何访问控制。在通俗的比喻里,访问控制就像你家门上的锁;没有它,任何人都可以随意进出。在这里,攻击者可以自由批准代币转移并提取存放在合约里的资产,从而导致资产被抽干。

Phalcon 警报截屏:可疑交易截图

攻击细节拆解

这些利用发生在多笔交易中,每笔交易由不同的外部拥有账户(EOAs)发起——也就是普通由人或机器人控制的钱包地址。

第一次交易:快速获取 WBTC

在首次攻击中(在 Phalcon Explorer 查看),攻击者针对合约 0xd9d097b05862b73269e6eecd2e9912a815bbe7d6。攻击者调用了 approveERC20 来授权转移 Wrapped Bitcoin(WBTC),随后使用 withdrawAll 提取了约 0.188 WBTC,当时价值约 $21,000。部分资产通过 SushiSwap 换成了 ETH,其余则回流到攻击者的钱包。此处的净损失约为 $37,000,主要来自与 SIL 配对的流动性池。

大手笔:闪电贷驱动的混乱

第二笔交易(在 Phalcon Explorer 查看)是重击,造成了约 $109,000 的主要损失。复杂之处在于,withdrawAll 函数需要先燃烧一部分 SIL 代币——可以把燃烧理解为为了满足条件而永久销毁代币。

为了在不事先持有 SIL 的情况下绕过这一点,攻击者从 Balancer Vault 发起了闪电贷。闪电贷是 DeFi 的强大工具:你可以在同一笔交易内无需抵押借入大量资产,但必须在交易结束前归还,否则整笔交易会回滚。在这次事件中,攻击者借入了 8 WETH 和 115 USDT,然后在 Uniswap V3、SushiSwap 和 Curve.fi 等多个平台进行一系列兑换,以获取足够的 SIL。

拿到 SIL 后,他们燃烧了所需数量,调用了脆弱合约 0x6cfa8e8d59686594c4aaf9ded37daee7a2268d39 上的敏感函数,抽走了一篮子代币:DAI、USDC、USDT、WBTC、MKR、SNX、LINK、YFI、AAVE 等等。SIL 本身遭受的冲击最大,流动性池损失超过 $69,000。攻击者带走了混合资产,其中部分换成了以太以便套现。

Phalcon 提到还有第三笔交易,但细节稀少——很可能是用类似手法获得较小收益,从而将总额凑足到约 $120K。

为什么选中 SIL?它是 meme 代币吗?

SIL(Silentium)并不是典型的狗狗或猫咪主题的 meme 币,但因其社区驱动的氛围以及在像 SushiSwap 这样的去中心化交易所上的流动性,仍然属于更广义的 meme 代币生态。由 Andre Cronje(Yearn.finance 背后的核心人物)创建,起初是个实验性代币,但后来一直处于相对低调状态。这次漏洞表明,即便是历史悠久、知名度不高的代币,只要与脆弱合约相关联,也会成为攻击目标——尤其是在以炒作快于审计的 meme 重灾区。

作为参考,根据 DEXTools 数据,SIL 的交易价格约为 $2.44 且成交量较低。其在 SushiSwap V2 上参与的永久损失保护(impermanent loss protection)可能使这些池子成为诱人的目标。

给 meme 代币爱好者的教训

这不仅仅是又一个被黑的故事;它提醒所有区块链从业者,meme 代币依赖病毒式传播,但在安全上省钱可能带来灾难。关键要点:

  • 审计一切:未验证的合约是红旗。像 Etherscan 这样的工具可以查看代码,但来自像 BlockSec 这样的专业审计机构更为可靠。
  • 实施访问控制:使用 OpenZeppelin 的 Ownable 等模式来限制谁能调用敏感函数。
  • 监控可疑活动:像 Phalcon 这样的系统在实时发现异常方面非常有用。
  • 分散与自主尽职调查(DYOR):持有 meme 代币时分散风险并研究流动性池。闪电贷利用在 DeFi 中很常见,因此要了解你正在交互的协议。

在 Meme Insider,我们致力于让你在 meme 代币领域保持领先。请继续关注我们关于利用事件、技术新闻和提升区块链知识的更多更新。如果你对这起 SIL 事件有看法,欢迎在评论区分享!

想了解更多 Andre Cronje 的项目,请查看 他的 X 资料。记住,在加密世界中,警惕就是你最好的 meme。

标签:
#andre cronje #blockchain security #defi attacks #ethereum exploit #flashloan exploits #meme tokens #sil token #smart contract vulnerability

你可能感兴趣