定标协议漏洞让用户用一枚比特币兑换一枚以太坊

该安全漏洞已被 "处理"，在攻击者将 ETH 与 BTC 进行等价交换后，Bedrock 损失了 200 万美元。

尽管价格相差 6 万多美元，但盯盘协议 Bedrock 上的一个安全漏洞允许用户以 1:1 的比例用以太坊交换通用比特币（该平台上的一种包装比特币）。

该漏洞目前已被 "处理"，估计有 200 万美元从该协议中被盗取，其中大部分来自去中心化交易所的流动性池。该盯盘协议表示，它正在努力追回损失的资金，目前正在 "敲定 "偿还计划，"一旦有了准备金证明"，它将与大家分享。

Dedaub 是该赌注协议的安全公司，它在攻击发生前几个小时就已将漏洞通知了 Bedrock 公司，但团队中的大部分人都在睡觉，因此未能及时采取行动。该漏洞是攻击发生前 36 小时进行的合约升级的一部分，它使以太坊和比特币之间的汇率不匹配。

Bedrock 公司尚未回应Decrypt的询问，即为什么没有在合约上线前对其进行审核。

从很多方面来看，该协议只被盗走了 200 万美元，这是非常幸运的。正如 Dedaub 所解释的那样，该漏洞是 uniBTC 代币上的一个 "无限薄荷漏洞"，这意味着整个协议的资金都可能被耗尽。不过，在白帽子组织 Seal 911 的协作下，通过暂停接触风险资金的第三方协议，将潜在损失降到了最低。

"我们想通知您，Bedrock 团队已经意识到涉及 uniBTC 的安全漏洞。该问题已得到处理，资金为 SAFU"。在推特上强调此事六个多小时后，Bedrock 在推特上发布："目前，不需要我们的社区采取额外行动。请放心，用户持有的所有 uniBTC 都是安全的。"

根据CoinGecko的数据，在撰写本文时，uniBTC价值63450美元，而以太坊仅值2660美元。这意味着攻击者每制造一个 uniBTC，就能获利 6 万多美元。

最初的钱包是由龙卷风现金（Tornado Cash）提供资金的，龙卷风现金是一种受到美国财政部制裁的加密混合货币，在UTC时间周四下午6:28实施漏洞攻击之前，龙卷风现金已经获得了180万美元的资金。然后，它将划拨的资金发送到一个新的钱包，该钱包现在持有 650 ETH（173 万美元）。这两个地址后来都收到了来自 Bedrock 部署者地址的区块链消息。

"我们想与您沟通，邀请您成为最近事件的白帽子，"消息中写道。"你是否有兴趣与我们合作，使协议更加安全？我们很乐意为您的帮助提供奖励"。

白帽黑客利用他们的技能，通过识别漏洞来帮助提高平台的安全性。加密协议在攻击中损失数百万美元的例子不胜枚举，这些资金后来在白帽子的救援枢纽中被归还。

不过，就目前而言，Bedrock 的情况似乎并非如此，因为持有被盗资金的钱包已经停止活动。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews