去中心化金融协议 Rhea Finance 于 4 月 16 日遭遇重大安全漏洞,区块链安全公司 CertiK 估计损失约 760 万美元。攻击者通过创建欺诈性代币合约并向新建立的流动性池注入资金,误导协议的预言机和验证机制,从而成功提取资金。CertiK 已识别出涉事链上地址,调查仍在进行中。
攻击机制:伪造代币合约与流动性池的组合欺诈
(来源:NearBlocks)
根据 CertiK 的初步分析,此次攻击的技术路径包含两个关键步骤。攻击者首先部署欺诈性代币合约,随后向新建立的流动性池注入资金,制造出“正常交易活动”的假象。这一操作误导了 Rhea Finance 协议依赖的预言机和验证层,使其错误评估资产价值,让攻击者得以利用协议感知价值与实际价值之间的差距提取资金。
此类预言机操纵攻击是 DeFi 生态系统中反复出现的安全威胁,核心机制是通过人为制造的流动性信号或虚假价格数据,扭曲协议对资产状态的判断,从而触发原本不应执行的交易逻辑。
损失规模:760 万占 Rhea Finance TVL 近 6%
CertiK 估计此次损失约为 760 万美元,但随着链上分析深入,该数字仍可能调整。根据 DefiLlama 数据,Rhea Finance 目前持有约 1.28 亿美元的总锁定价值(TVL),意味着此次漏洞损失约占平台总流动性的 6%,在单一安全事件中属于中等至较严重的程度。
攻击者在窃取资金后,通过多个链上地址路由资产,这是 DeFi 攻击后常见的混淆手法,目的是复杂化后续的追踪与资金冻结工作。
同日大额链上资金动向
在 Rhea Finance 事件发生的同一天,链上记录了另外两笔大额 BTC 转移值得关注:
美国政府:向 Coinbase Prime 存入 8.2 枚 BTC(约 60.6 万美元),这些资产来自与 Bitfinex 黑客事件相关的查封资产
Abraxas Capital:向 Kraken 存入 1,993 枚 BTC(约 1.48 亿美元),延续自 3 月中旬以来的大规模比特币交易模式
常见问题
什么是预言机操纵攻击,它如何影响 DeFi 协议?
预言机是 DeFi 协议获取链下或链上价格数据的中介。当攻击者通过人工控制的流动性池或虚假代币合约向预言机输入扭曲数据时,协议可能错误评估资产价值,并根据偏差价格执行借贷、清算或套利操作,使攻击者得以无风险套取差额。这是 DeFi 历史上最常见且持续存在的攻击手法之一。
Rhea Finance 此次损失相对于其 TVL 有多严重?
760 万美元的损失约占 Rhea Finance 约 1.28 亿美元 TVL 的 5.9%,属于中等严重程度的安全事件。如果攻击者尚未完成所有资金转移,实际损失可能高于 CertiK 的初步估计。平台目前仍在运行,但存在潜在的持续风险。
Rhea Finance 至今未回应,持有资产的用户应如何应对?
在协议团队发布官方回应或确认系统已安全封堵漏洞之前,持有 Rhea Finance 资产的用户应评估是否撤回流动性以降低风险。应通过 CertiK 等第三方安全平台持续追踪事件的最新链上进展,避免在漏洞尚未完全确认修复前进行新的资金存入。
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Litecoin 首次出现隐私层遭駭:MWEB 零日漏洞触发 13 区块链重组
Según The Block, la Fundación de Litecoin confirmó que la capa de privacidad MWEB sufrió una vulnerabilidad de día cero, y que el atacante utilizó nodos de versiones antiguas para hacer que las transacciones MWEB falsificadas se consideraran válidas, causando un retroceso de 13 bloques en la cadena principal (aprox. 3 horas) y realizando doble gasto contra intercambios de operaciones entre cadenas; NEAR Intents expuso alrededor de 600.000 dólares, y el minipool también fue objeto de un DoS. La versión parcheada ya se ha publicado; actualice inmediatamente. Los saldos de la cadena principal no se ven afectados, pero pone de relieve el compromiso entre reducir la observabilidad y la dificultad de detección en la capa de privacidad.
ChainNewsAbmediaHace41m
Aave, Kelp, LayerZero Seek $71M Liberación congelada de ETH desde el DAO de Arbitrum
Aave Labs, Kelp DAO, LayerZero, EtherFi y Compound presentaron el lunes por la mañana una AIP Constitucional en el foro de Arbitrum, solicitando que la DAO de la red libere aproximadamente $71 millones en ETH congelados para apoyar los esfuerzos de recuperación de rsETH tras el exploit de $292 millones de Kelp DAO de la semana pasada. La propuesta
CryptoFrontierhace1h
Litecoin Sufre una Profunda Reorganización de la Cadena Tras el Exploit de Día Cero de MWEB, Borrando Tres Horas de Historia
Mensaje de Gate News, 26 de abril — Litecoin experimentó una profunda reorganización de la cadena (reorg) el sábado después de que los atacantes explotaran una vulnerabilidad de día cero en su capa de privacidad de MimbleWimble Extension Block (MWEB), según la Litecoin Foundation. El fallo permitió a los nodos mineros que ejecutaban software antiguo
GateNewshace7h
El insider de ApeCoin convierte $174K en $2.45M en un día con 14x de operaciones en ambos lados de un aumento del 80%
Un monedero anónimo sin historial de operaciones previo convirtió 174.000 USD en ether en 2,45 millones de USD al operar con Apecoin por ambos lados de una subida de precio del 80% en un solo día.
Puntos clave:
La wallet 0x0b8a convirtió 174.000 USD en ETH en una posición larga apalancada de Apecoin, saliendo cerca de la parte superior para obtener un beneficio de 1,79M
Coinpediahace8h
La policía de Hong Kong desmantela una red fraudulenta transfronteriza que apuntaba a estudiantes en el extranjero, incautando activos por HK$5M
Mensaje de Gate News, 26 de abril — La policía de Hong Kong desmanteló una red fraudulenta transfronteriza que atacaba a estudiantes chinos en el extranjero que estudiaban en el exterior, según los medios locales. El grupo delictivo se hizo pasar por funcionarios encargados de hacer cumplir la ley y obligó a las víctimas a viajar a Hong Kong para comprar lingotes de oro como "c
GateNewshace8h
La reorganización de Litecoin deshace el exploit de la capa de privacidad MWEB
Litecoin sufrió una profunda reorganización de cadena el sábado después de que los atacantes explotaran una vulnerabilidad de día cero en su capa de privacidad (MWEB) de la Extension Block de MimbleWimble, según la Litecoin Foundation. El incidente dio lugar a una reorganización de tres horas que borró transacciones inválidas de la
CryptoFrontierhace13h
