autorenew
WebKeyDao 攻击事件:BlockSec Phalcon 分析揭示 DeFi 漏洞导致 7.3 万美元损失

WebKeyDao 攻击事件:BlockSec Phalcon 分析揭示 DeFi 漏洞导致 7.3 万美元损失

大家好!如果你对加密货币或去中心化金融(DeFi)感兴趣,你可能听说过最近发生的 WebKeyDao 攻击事件。2025 年 3 月 15 日,安全公司 BlockSec Phalcon 在 X(原 Twitter)上分享了一个详细的帖子,讲述了这次攻击的经过,这是一个引人入胜(且具有警示意义)的故事。让我们用简单的语言来分解一下。

WebKeyDao 发生了什么?

WebKeyDao 是一个建立在币安智能链(BSC)上的项目,遭到攻击者的袭击,损失约 73,000 美元。这次攻击的发生是由于 WebKeyDao 的一个智能合约存在漏洞——一个未受保护的 “buy”(购买)函数。这个函数允许攻击者以极低的价格使用 1,159 个 BUSD(Binance USD,一种稳定币)购买 wkeyDao 代币。然后,他们在一个去中心化交易所(DEX)上出售这些代币,获得了 10 倍的巨额利润,净赚 13,167 个 BUSD。真是糟糕!

BlockSec Phalcon 在他们的 X 帖子 中分享的分析,展示了攻击者是如何完成这次攻击的。他们利用这个漏洞廉价地铸造了 230 个 wkeyDao 代币,并迅速出售以获取利润。有趣的是,这个存在漏洞的合约已经被修复,所以它不能再被利用了。这就是为什么 BlockSec Phalcon 现在与社区分享完整的故事——帮助其他人学习并保持安全。

WebKeyDao 代币余额显示攻击详情

攻击者是如何实施攻击的?

核心问题在于智能合约的 “buy” 函数,位于合约地址 0xD5110...CD851。这个函数没有足够的安全检查来阻止他人操纵它。根据 BlockSec Phalcon 的说法,该合约使用 1,159 个 BUSD(存储在一个特定的存储槽 0x9c 中)来铸造 230 个代币(存储在槽 0x9e 中)。攻击者通过以低价购买代币,然后在 DEX 上出售以获取巨额利润来利用这一点。

BlockSec Phalcon 的帖子包括一些技术截图,例如代码片段和交易日志,显示了该漏洞是如何工作的。例如,他们突出显示了 buy 函数的代码,以及它如何缺乏防止此类操纵的保护。甚至还有一个攻击者行为的逐步分解,包括一个他们设置销售信息以使攻击成为可能的交易。

WebKeyDao 智能合约中存在漏洞的 buy 函数的代码片段

为什么损失没有变得更糟?

这里有一线希望:WebKeyDao 的智能合约有一个安全网。它包含一个 67 个代币的销售阈值,这阻止了攻击者耗尽整个 1100 万美元的流动性池。如果没有这个阈值,损失可能会更惨重——可能高达 737,000 美元!这表明即使安全措施并不完美,拥有安全措施也是至关重要的。

这对 DeFi 意味着什么?

这次攻击提醒我们 DeFi 世界中存在的风险,尤其是在像币安智能链这样的平台上。智能合约就像 DeFi 项目的支柱,但如果没有经过适当的审计,它们可能存在漏洞或缺陷。WebKeyDao 事件并非个例——其他 DeFi 项目也面临着类似的攻击,例如 CryptoBriefing 上关于 DeFi 漏洞的文章CryptoKnowmics 上关于币安智能链合约风险的文章 中提到的那些。

对于加密货币领域的人来说,这是一个警钟,要仔细检查你参与的任何 DeFi 项目的安全性。像 WebKeyDao 这样,其智能合约在 GitHub 上开源的项目,可以进行审计,但不是每个人都会彻底地进行审计。BlockSec Phalcon 在这里的透明度非常有帮助——这就像为开发者和用户提供的一堂免费课程。

最后的想法

WebKeyDao 的攻击事件令人沮丧,但也是一个学习的机会。BlockSec Phalcon 在 X 上的详细分析展示了在 DeFi 中事情会以多快的速度出错,以及为什么安全至关重要。如果你对细节感兴趣,请查看他们的完整帖子,了解更多技术细节,包括交易链接和代码分析。

目前,请密切关注你投资的项目,并在没有检查其安全性的情况下,三思而后行再进入一个新的 DeFi 代币。在加密货币世界中保持安全!

显示攻击者在 WebKeyDao 上进行攻击的交易详情

你可能感兴趣