最优质的加密货币资讯直接发送到您的邮箱。.
- Goldfinch Finance 用户 deltatiger.eth 在 Ethereum上遭遇智能trac漏洞攻击,损失了 33 万美元,资金通过 Tornado Cash进行路由。
- 该攻击利用了 collectInterestRepayment() 函数,在抬高股价后允许反复提取 USDC。
- DeFi 平台黑客攻击仍然普遍存在,包括 Yearn Finance 的 yETH 资金流失事件,凸显了去中心化协议中持续存在的安全风险。
据区块链安全平台 PeckShield 称, Ethereum DeFi 平台 Goldfinch Finance 的一名dent用户遭遇了安全漏洞攻击,导致损失约 33 万美元。
PeckShieldAlert 周二在 X 上报道,Goldfinch 用户 deltatiger.eth 的攻击者在入侵 Ethereum上的一个较旧的智能trac后,向 Tornado Cash 发送了约 118 个 ETH。
被泄露的trac(dent为 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43)使犯罪分子能够控制 deltatiger 的钱包并盗取资金。
#PeckShieldAlert @goldfinch_fi的用户 deltatiger.eth @deltatigernz 遭到攻击,造成约 33 万美元损失。
黑客已将 美元(以太币) 窃取的资金中的 #TornadoCash。
🚨请立即撤销对此合同的批准trac… pic.twitter.com/OOuv39YVU9
— PeckShieldAlert (@PeckShieldAlert) 2025年12月2日
该漏洞存在于trac的 collectInterestRepayment() 函数中,该函数可以从任何授权地址转移 USDC。据报道,攻击者存入了 1000 USDC,并在人为抬高股价后反复提取资金。
PeckShield 警告用户立即“撤销合同上的所有批准trac,以防止黑客继续使用加密货币混合器 Tornado Cash 窃取更多代币。
截至目前,deltatiger 和 Goldfinch 均未发布任何更新信息,这两个实体也未透露攻击者是否在今天 UTC 时间上午 9:30 左右的漏洞利用事件发生后与他们联系过。
Goldfinch Finance的去中心化借贷模式存在缺陷
Goldfinch Finance 是一个去中心化金融 (DeFi) 协议,得到了包括 a16z Crypto 和 Coinbase Ventures 在内的加密货币行业主要参与者的支持。
与大多数加密货币借贷平台截然不同,Goldfinch 不要求借款人提供抵押品。借款人只需提交贷款申请,由支持者和审计员审核,如果申请获得足够支持,即可 发放贷款 。流动性提供者、支持者和审计员均可获得利息作为回报,而借款人则无需提供抵押品即可获得资金。
该协议于2021年2月在 Ethereum 上线,初期发放了价值100万美元的贷款。1.1版本于一个月后的2021年3月发布,几个月后,Goldfinch从Andreessen Horowitz基金筹集了1100万美元资金。2021年10月,该平台与Nexus Mutual达成合作,允许流动性提供者和支持者购买智能trac保险。
根据 Coingecko 的代币终端显示,Goldfinch 协议的完全稀释市值为 3050 万美元,过去 30 天的代币交易量为 1240 万美元,活跃贷款总额为 9130 万美元。
2023 年,东非摩托车金融公司 Tugende Kenya 拖欠了 500 万美元的加密货币贷款,据称该公司向其位于乌干达的母公司提供了一笔未经授权的贷款,违反了贷款条款。
Warbler Labs是Goldfinch的母公司,该公司发现Tugende Kenya挪用了近200万美元给其母公司。该违规事件于当年12月曝光,但公司记录显示,Goldfinch的治理论坛直到2024年2月才对此进行报告。
另一起违约事件发生在2024年,涉及总部位于新加坡的私人信贷公司Lend East。该公司表示,其从Goldfinch资金池获得的1015万美元贷款中,只能偿还约425万美元。该金额比应偿还金额少了58%,占Goldfinch未偿贷款总额的7.7%。
Lend East 的这笔资金池期限为 25 个月,将于 2024 年 4 月 3 日到期,提供 17% 的 USDC 年利率或 28% 的浮动 GFI 年利率。Discord 社区成员声称,从 Goldfinch 借入的 75 万美元被用于偿还其他借款人,违反了最初的贷款协议。
12月, DeFi 协议将面临黑客攻击造成的损失。
Goldfinch 遭黑客攻击仅仅 24 小时前,Yearn Finance 的 yETH 项目就遭遇了无限增发漏洞,导致整个 yETH 池在一次交易中被清空。据 Cryptopolitan攻击 Cryptopolitan 报道者生成了近乎无限的 yETH 代币,tracCashCash CashCashCashCash CashCash。
yETH 是一种基于多种 Ethereum (ETH) 流动性质押衍生品(LST)的指数代币。该漏洞由 X 用户 Togbe 发现,他注意到 Yearn、Rocket Pool、Origin 和 Dinero 等 LST 上出现了“大量交易”。
Yearn Finance通过其官方X账号证实了此次dent ,但向用户保证V2和V3金库是安全的。这是自2021年以来发生的第二次攻击事件。2021年,Yearn的yDAI金库遭到入侵,导致280万美元的损失;2023年12月,一个故障脚本导致其国库头寸损失了63%。
区块链安全公司 CertiK 周日发布报告称,加密货币行业在 11 月份因 黑客攻击和漏洞利用 。该公司发布的月度威胁报告指出,实际受影响的资金超过 1.72 亿美元,但其中约 4500 万美元后来被追回。
不要只是阅读加密货币新闻,要理解它。订阅我们的新闻简报, 完全免费。
免责声明: 提供的信息并非交易建议。Cryptopolitan.com Cryptopolitan研究 对任何基于本页面信息进行的投资概不负责。我们trondentdentdentdentdentdentdentdent /或咨询合格的专业人士。
学速成课程
- 哪些加密货币可以让你赚钱
- 如何通过钱包提升安全性(以及哪些钱包真正值得使用)
- 专业人士使用的鲜为人知的投资策略
- 如何开始投资加密货币(使用哪些交易所、购买哪种加密货币最划算等)