
WebKeyDao 攻击事件:BlockSec Phalcon 分析揭示 DeFi 漏洞导致 7.3 万美元损失
1/ @WebKey01 WebKeyDao was attacked, resulting in a ~$73K loss. The attacker leveraged an unprotected function to buy wkeyDao tokens at a low price and sold them on DEX for profit. https://t.co/41adgRYcOn
— BlockSec Phalcon (@Phalcon_xyz) March 15, 2025
Since the vulnerable contract can no longer be exploited, we're… pic.twitter.com/OQEWEC1Hb1
大家好!如果你对加密货币或去中心化金融(DeFi)感兴趣,你可能听说过最近发生的 WebKeyDao 攻击事件。2025 年 3 月 15 日,安全公司 BlockSec Phalcon 在 X(原 Twitter)上分享了一个详细的帖子,讲述了这次攻击的经过,这是一个引人入胜(且具有警示意义)的故事。让我们用简单的语言来分解一下。
WebKeyDao 发生了什么?
WebKeyDao 是一个建立在币安智能链(BSC)上的项目,遭到攻击者的袭击,损失约 73,000 美元。这次攻击的发生是由于 WebKeyDao 的一个智能合约存在漏洞——一个未受保护的 “buy”(购买)函数。这个函数允许攻击者以极低的价格使用 1,159 个 BUSD(Binance USD,一种稳定币)购买 wkeyDao 代币。然后,他们在一个去中心化交易所(DEX)上出售这些代币,获得了 10 倍的巨额利润,净赚 13,167 个 BUSD。真是糟糕!
BlockSec Phalcon 在他们的 X 帖子 中分享的分析,展示了攻击者是如何完成这次攻击的。他们利用这个漏洞廉价地铸造了 230 个 wkeyDao 代币,并迅速出售以获取利润。有趣的是,这个存在漏洞的合约已经被修复,所以它不能再被利用了。这就是为什么 BlockSec Phalcon 现在与社区分享完整的故事——帮助其他人学习并保持安全。
攻击者是如何实施攻击的?
核心问题在于智能合约的 “buy” 函数,位于合约地址 0xD5110...CD851
。这个函数没有足够的安全检查来阻止他人操纵它。根据 BlockSec Phalcon 的说法,该合约使用 1,159 个 BUSD(存储在一个特定的存储槽 0x9c 中)来铸造 230 个代币(存储在槽 0x9e 中)。攻击者通过以低价购买代币,然后在 DEX 上出售以获取巨额利润来利用这一点。
BlockSec Phalcon 的帖子包括一些技术截图,例如代码片段和交易日志,显示了该漏洞是如何工作的。例如,他们突出显示了 buy
函数的代码,以及它如何缺乏防止此类操纵的保护。甚至还有一个攻击者行为的逐步分解,包括一个他们设置销售信息以使攻击成为可能的交易。
为什么损失没有变得更糟?
这里有一线希望:WebKeyDao 的智能合约有一个安全网。它包含一个 67 个代币的销售阈值,这阻止了攻击者耗尽整个 1100 万美元的流动性池。如果没有这个阈值,损失可能会更惨重——可能高达 737,000 美元!这表明即使安全措施并不完美,拥有安全措施也是至关重要的。
这对 DeFi 意味着什么?
这次攻击提醒我们 DeFi 世界中存在的风险,尤其是在像币安智能链这样的平台上。智能合约就像 DeFi 项目的支柱,但如果没有经过适当的审计,它们可能存在漏洞或缺陷。WebKeyDao 事件并非个例——其他 DeFi 项目也面临着类似的攻击,例如 CryptoBriefing 上关于 DeFi 漏洞的文章 或 CryptoKnowmics 上关于币安智能链合约风险的文章 中提到的那些。
对于加密货币领域的人来说,这是一个警钟,要仔细检查你参与的任何 DeFi 项目的安全性。像 WebKeyDao 这样,其智能合约在 GitHub 上开源的项目,可以进行审计,但不是每个人都会彻底地进行审计。BlockSec Phalcon 在这里的透明度非常有帮助——这就像为开发者和用户提供的一堂免费课程。
最后的想法
WebKeyDao 的攻击事件令人沮丧,但也是一个学习的机会。BlockSec Phalcon 在 X 上的详细分析展示了在 DeFi 中事情会以多快的速度出错,以及为什么安全至关重要。如果你对细节感兴趣,请查看他们的完整帖子,了解更多技术细节,包括交易链接和代码分析。
目前,请密切关注你投资的项目,并在没有检查其安全性的情况下,三思而后行再进入一个新的 DeFi 代币。在加密货币世界中保持安全!