去中心化的美元稳定币协议Raft声称,尽管进行了多次安全审计,该公司仍遭受了安全漏洞,导致上周损失670万美元。
根据该项目11月13日的事后报告,几天前,一名黑客在去中心化金融协议Aave上借用了6000枚Coinbase封装的赌注以太币(cbETH),将这笔钱转移到Raft,并利用智能合约故障铸造了670万枚被称为“R”的Raft稳定币。
未经授权的铸造资金随后通过去中心化交易所Balancer和Uniswap的流动性池从平台上交换,净赚360万美元。袭击发生后,R稳定币贬值。
根据报告:
“主要的根本原因是铸造股票代币时的精度计算问题,这使利用者能够获得额外的股票代币。攻击者利用放大的指数值来增加他们股票的价值。”
区块链安全公司Trail of Bits and Hats Finance对事件中使用的智能合约进行了审计。Raft开发人员写道:“不幸的是,在这些审计中没有发现导致该事件的漏洞。”。
该项目表示,自11月10日事件发生以来,它已向警方报案,目前正在与中央交易所合作,追踪被盗资金的流向。Raft的所有智能合约目前都被暂停,尽管铸造R的用户“保留偿还头寸和取回抵押品的能力”
去中心化稳定币是使用用户的加密存款作为抵押品铸造的。去年12月,在一名黑客利用智能合约故障,在没有适当抵押品的情况下铸造了1600万HAY后,去中心化稳定币HAY对美元贬值。此后,HAY稳定币重新挂钩,部分原因是协议要求在开发时将152%的抵押率作为风险管理的一部分。
我们意识到一个潜在的安全漏洞。我们目前正在进行调查,并将尽快提供最新情况漂流(@Raft_fi)2023年11月10日
