文/Robin


链上互助保险平台 Nexus Mutual 在推特上表示,其创始人 Hugh Karp 的个人地址被一位平台用户攻击,被盗 37 万 NXM。官方表示这是一次具有针对性的攻击,只有 Karp 的地址受到影响,Nexus Mutual 或其他成员没有后续风险。官方称,Karp 使用的是硬件钱包,攻击者获得了对他电脑的远程访问权限,并修改了钱包插件 MetaMask,欺骗他签署了交易,将资金转移到攻击者自己的地址。这位攻击者在 11 天前完成了 KYC,然后在 12 月 3 日换了一个新地址。

根据 Dovey 的分析,这个事件的来龙去脉是这样的:

黑掉 Nexus Mutual 的黑客不仅拿到了 Huge Karp 的电脑的远程控制,为了收割 Karp 手上 NXM 而去做了 Nexus Mutual 的 KYC (已经精心准备了很久,可见有 KYC 也没啥用) -> 因为 Karp 手上肯定没有大量的 wNXM 而是有大量的 NXM,所以必须要在内盘内完成「钓鱼」的工作。然后钓鱼完成后,NXM 本身的价格只要跌到了 MCR 100% 的时候,黑客必然知道无法靠 Bonding curve 出货,所以非常老练的直接把拿到的 NXM wrap 掉,去外部砸盘。

值得一提的是,Huge Karp 使用的是 MetaMask 再加硬件钱包。根据大家的推测,使用的硬件钱包是 Ledger 系的,具体型号不得而知。MetaMask 是可以生成钱包的,但部分为了追求安全的用户并没有使用 MetaMask 创建钱包,而是把币都存在硬件钱包里,MetaMask 只是一个作为前端工具。

以太坊的 DeFi 应用确实存在授权滥用的情况,很多人为了省 gas 费,采用永久无限授权的方式。这个问题的解决办法,采用一授权一地址这样的严格授权。至于为什么会存在这种情况,本质上还是智能合约状态的设计模式问题,ETH 这种原生资产就没有这个问题,因为 ETH 是以太坊原生资产,合约收到 ETH 后,链会通知该合约,同时 ETH 也不支持 approve。

这里给广大 DeFi 的用户提醒下,授权尽可能地谨慎些,务必使用「一授权一地址」,而且在加密货币这个黑暗森林里,尽可能的隐藏自己的地址,因为你不知道背后有多少地下势力盯着你钱包的余额。


我是区块链罗宾,博客 dbarobin.com。如果您想和我交流,我的微信: Wentasy


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。


本博客开通了 Donate Cafe 打赏,支持 Mixin Messenger、Blockin Wallet、imToken、Blockchain Wallet、Ownbit、Cobo Wallet、bitpie、DropBit、BRD、Pine、Secrypto 等任意钱包扫码转账。


–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)