七问币安天价罚单:交易
Kyberswap被盗4800万美元,戏精黑客却来主动谈判
原创 | Odaily星球日报
作者 | Loopy Lu
11 月 23 日,多链 DEX 聚合器 Kyberswap 近日遭受了严重的网络攻击,导致价值约 4830 万美元的各种加密资产被盗,主要包括 16, 217 枚 ETH(价值 3350 万美元)、 3, 987, 332 枚 ARB (价值 406 万美元)、 591, 441 枚 OP (价值 103 万美元)和 1, 111, 926 枚 DAI。
数千万美元被盗
事件发生后,Kyber Network 团队在 X (Twitter) 帖子中提醒其用户,称 KyberSwap Elastic“经历了安全事故”。它建议用户提取资金作为预防措施,并补充说正在调查情况。
Kyber 于 2018 年推出,在黑客攻击之前的 TVL 约为 8600 万 美元,目前 TVL 已跌至 1300 万美元。
KyberSwap 是一个部署在 15 个区块链上的去中心化 DEX 及聚合器。官方介绍显示,该平台已经进行了超过 100 亿美元的总交易量和超过 200 万总交易笔数,并且集成了超过 100 个 DEX。
(KyberSwap 已在 15 条链上可用)
而链上数据显示,本次 KyberSwap 被盗也发生在了多个网络之上。Spot On Chain 监测,KyberSwap 被盗发生在包括 Arbitrum、Optimism、Ethereum、Polygon 和 Base。
其中,价值约 2000 万美元的代币从 Arbitrum 网络中被盗, 1500 万美元从 Optimism 网络中被盗,超过 700 万美元从以太坊被盗。
需要注意的是,这并不是 KyberSwap 首次被盗。2022 年 9 月,KyberSwap 前端漏洞导致 265, 000 美元用户资金被盗 。
KyberSwap 被盗事件,再一次引起了加密行业对 DEX 安全性的的广泛关注。Odaily星球日报提醒广大用户,安全风险发生时,用户应及时提取资金并 revoke 权限。
“我先歇会,晚点联系”
而本次事件与以往的攻击事件有所不同的是,黑客对在链上进行的操作加入了丰富的注释。这种行为让本次攻击充满着别样的意味,我们很难评价这究竟是嘲讽,抑或是教学。
黑客操作较为复杂,我们截取了主要流程如下:
1、开始行动
2、找到流动性请求源
3、构建虚假流动性
4、完成攻击
我们看到,黑客在最后发出一条 DONEEEEEEEEEEEEE 的信息,拖长的尾音直抒了黑客心中的欣喜之情。
更有趣的是,此次黑客的目标似乎并不在于耗尽 Kyber 的流动性,而是意图通过谈判来获得自己本次攻击的成果。
攻击者给协议开发者和 DAO 成员留下了一条链上消息,称“当我休息好后,谈判将在几个小时内开始”。