流动性管理应用程序 Concentric 已成为 Arbitrum 网络上私钥利用的受害者。根据其官方 X 帐户上的帖子,该协议证实了这一事件,并揭示了安全漏洞是由于对其一名有权访问部署者钱包的团队成员进行有针对性的社会工程攻击造成的。此事件导致未经授权的访问和随后对该协议的利用。根据区块链安全公司CertiK的一份报告,这次攻击已造成超过160万美元的损失。此外,攻击钱包与 12 月 13 日参与 OKX 去中心化交易所漏洞利用的钱包有关,这表明这两起事件之间存在潜在联系。
该攻击媒介是通过复杂的社会工程攻击发起的,破坏了部署者钱包——同心协议基础设施的关键组成部分。尽管已经审计了保险库,但该协议仍然容易受到攻击,因为这些保险库是可升级的。攻击者利用此功能升级金库,铸造新的 LP 代币,并耗尽其资产的金库。
在对 Concentric 的攻击中,攻击者钱包利用了 Concentric 合约上的 adminMint 函数,铸造 CONE-1 代币,然后调用“burn”将这些代币兑换成代数池中的资金。这个过程被多次重复,允许攻击者获得各种 ERC-20 代币,以换取以太币。
Concentric 的团队已启动调查,并招募安全研究人员帮助分析事件、识别漏洞利用者并采取措施防止未来发生。该协议承诺提供一份事后分析报告,概述该漏洞和解决该漏洞的计划。此外,Concentric 旨在通过提供这份详细的报告来保持透明度,让社区了解并参与恢复过程。该团队致力于解决该问题并恢复 Arbitrum 同心协议的完整性。建议用户随时了解 Concentric 关于事件及其解决方案的更新。此外,Concentric还敦促其用户撤销所有保险库地址的批准,并在协议文件中提供一份清单以促进这一过程。
安全漏洞继续困扰着流动性协议;最新受害者的 ConcentricFi 和 Gamma 策略
今年见证了针对流动性协议的安全漏洞,Concentric 是 Arbitrum 网络攻击的最新受害者。今年早些时候,另一个流动性协议 Gamma Strategies 遭受了攻击,导致 340 万美元的损失。这种违规行为归因于与存款和取款的会计机制不一致有关的智能合约漏洞。攻击者利用这个漏洞提取了许多代币,尽管 Gamma Strategies 的金库旨在防止闪电贷。
对Gamma Strategies的攻击使用了不同的方法,两起事件之间没有明显的联系。自 Uniswap 于 2021 年推出其“集中流动性”功能以来,流动性管理协议在去中心化交易所 (DEX) 中越来越受欢迎。此功能允许流动性提供者为其在 DEX 池中的资产设置最低和最高价格,使流动性供应更加复杂。用户转向管理协议来处理他们的资产,这有助于增加这些协议的采用。