Delta Prime 攻击者通过制造大量代币窃取了 600 万美元

一名黑客通过铸造任意数量的存款收据代币，成功地从去中心化金融（DeFi）协议 Delta Prime 中盗取了 600 多万美元。

根据区块探索者 Arbiscan 的数据，攻击者在最初的攻击中制造了超过 115 duovigintillion Delta Prime USD (DPUSDC) 代币，用科学符号表示超过 1.1*10^69。

DPUSDC 是 Delta Prime 持有的 USDC（USDC）稳定币的存款收据。它可以按 1:1 的比例兑换 USDC。

尽管铸造了如此大量的 USDC 存款收据，攻击者只烧毁了 240 万张，换取了 240 万美元的 USDC 稳定币。

攻击者随后对其他存款收据代币重复了这些步骤，铸造了超过 1 duovgintillion Delta Prime Wrapped Bitcoin (DPBTCb) 和 115 octodecillion Delta Prime Wrapped Ether (DPWETH)、115 个十亿分之一的 Delta Prime Arbitrum (DPARB) 和许多其他存款收据代币，最终赎回了一小部分铸币量，获得了超过 100 万美元的比特币 (BTC)、以太币 (ETH)、Arbitrum (ARB) 和其他代币。

据区块链安全专家寿超凡（Chaofan Shou）称，到目前为止，攻击者已经窃取了约 600 万美元的资金。

攻击者首先获得了一个以 b1afb 结尾的管理员账户的控制权，很可能是通过窃取开发者的私钥来实现的。利用这个账户，他们调用了协议中每个流动性池合约的 "升级 "功能。

这些功能用于软件升级。它们允许开发者通过让代理指向不同的执行地址来更改合约中的代码。

然而，攻击者利用这些函数将每个代理指向攻击者创建的恶意合约。每个恶意合约都允许攻击者任意铸造大量存款收据，从而有效地耗尽每个资金池的资金。

Delta Prime 在 X 帖子中承认受到攻击，称 "欧洲中部时间早上 6:14 DeltaPrime Blue (Arbitrum) 受到攻击，损失 598 万美元"。

它声称，雪崩版本 DeltaPrime Blue 不容易受到攻击。它还表示，该协议的保险 "将在可能/必要的情况下承担任何可能的损失"。

相关报道 DeFi平台Delta Prime遭遇600万美元漏洞

Delta Prime的攻击说明了DeFi协议使用可升级合约的风险。

Web3 生态系统旨在防止私钥黑客利用整个协议。

从理论上讲，攻击者需要窃取每个用户的私钥才能破坏整个协议。然而，当合约可以升级时，就会引入中心化风险，从而导致整个用户群的资金损失。

即便如此，一些协议认为，放弃升级能力可能比其他选择更糟，因为这可能会阻止开发人员修复部署后发现的错误。Web3 开发者仍在争论协议何时应该、何时不应该允许升级。

智能合约漏洞继续给 Web3 用户带来风险。9 月 11 日，一名攻击者利用指向独立合约上未经验证函数的一行不明显的代码，从 CUT 代币流动性池中抽走了 140 多万美元。

9 月 3 日，在攻击者成功将自己的恶意合约注册为代币市场后，Penpie 协议中超过 2700 万美元的资金被耗尽。