Bedrock DeFi通過智能合約trac被黑客竊取 170 萬美元 uniBTC

Bedrock DeFi是一種基於Bitcoin的DeFi協議，具有打包資產，已被抽走 170 萬美元。 uniBTC 被盜事件發生在 Onyx Finance 遭受攻擊的第二天。

由於智能trac漏洞導致重新抵押池被耗盡，Bedrock DeFi被利用了 170 萬美元的 uniBTC。在研究了攻擊之後，Bedrock 關閉了有matic的智能trac，避免了進一步的攻擊。黑客能夠無限制地鑄造 uniBTC，從而可能暴露所有相關的礦池和交易對。

該漏洞最初是由 Dedaub 分析團隊發現的，他們立即嘗試聯繫 Bedrock 開發人員。然而，不到三個小時後，另一名攻擊者應用了該知識並創建了多餘的 uniBTC。

Bedrock DeFi宣佈該漏洞僅影響 uniBTC，這是 BTC 的另一種代幣化形式。基礎儲備仍然安全，協議已經解決了這個問題。該平臺持有超過 2.43 億美元的來自各種網絡的資產，包括Bitcoin和Ethereum。 Bedrock DeFi旨在提供多鏈流動性重新質押，閒置資產可以賺取被動收入。

代幣化的 uniBTC 資產是Ethereum鏈上的 ERC-20trac。打包後的 BTC 存放在 3,552 個地址中，總市值爲 7540 萬美元。漏洞利用後不久，一些去中心化貨幣對就出現了異常的行爲。

uniBTC 的版本總共存在於 8 個網絡上，Pendle 等一些協議的資產敞口高達 3000 萬美元，與 Corn 協議相關。用於鑄造 uniBTC 的類似脆弱trac正在對Ethereum、Binance、Arbitrum、Optimism 主網、Mantle、Mode、BOB 和 ZetaChain 造成威脅。 Dedaub 的研究人員警告 Pendle，它避免了大部分鎖定的價值被用作退出流動性。

uniBTC 黑客事件在去中心化交易所引起了一些波及。其中一個 Uniswap V3 池的價格暴跌至17,889.15 美元，而另一對的交易價格折扣較小，爲 62,311.48 美元。去中心化貨幣對的 Optimism 版本暴跌90% ，跌至 18,000 美元以下。該資產甚至創下 5,741.48 美元的新低。由於貨幣對的流動性較低，拋售壓力占主導地位，阻止了套利嘗試。

實際的掉期利率崩潰可能對協議造成更大的傷害，也會造成聲譽損害。黑客攻擊發生數小時後，uniBTC 尚未恢復與構成大部分交易對的 WBTC 的平價。

與其他漏洞一樣，社交媒體上的虛假評論要求使用撤銷網站。錢包用戶面臨這些惡意鏈接帶來的額外風險，這可能會耗盡剩餘資產。

黑客利用 Bedrock 調用 uniBTCtrac

該漏洞影響了代幣化包裝的 uniBTC，它有實際的 BTC 和 WBTC 支持。 Dedaub 等研究人員聲稱他們已經注意到了利用 Bedrock 的潛在功能，但黑客攻擊發生在警告發生數小時後。

Dedaub 指出，惡意行爲者可以創建無限的uniBTC 並攻擊金庫和去中心化貨幣對。除了 Bedrock DeFi之外，此次攻擊還可能影響 Pendle 和 Corn。剝削者可以存入少量 ETH 並以不同的匯率鑄造 uniBTC。新鑄造的資產將是完全可轉讓的，並且可以在 Uniswap 或其他去中心化協議上轉售以獲得更多 WBTC。

另一位研究員 Chaofan Shou 指出 uniBTCtrac容易受到函數調用的影響。風險總額在分析前幾個小時被精確耗盡。

您可以使用 ItyFuzz 生成功能齊全的漏洞，從@Bedrock_DeFi uniBTC 竊取高達 170 萬美元。

而它所需要的只是一個CPU核心+0.5秒。 pic.twitter.com/SMMD1MSbvT

—手超凡 (@shoucccc) 2024 年 9 月 27 日