攻擊者通過借入4.6M BONE獲得了三分之二的驗證人控制權,耗盡了$2.4M的姨太和SHIB。
價值70萬美元的KNINE代幣被K9 Finance DAO扣押,但被列入黑名單,阻止了清算。
開發者暫停了質押,確保了驗證者密鑰,並邀請了Hexens、Seal 911和PeckShield進行調查。
Shibarium橋將Layer網路連接到姨太,周五發生了一起閃電貸攻擊,損失了240萬美元的資產。Shiba Inu生態系統的開發者表示,該事件迫使他們暫停質押、取消質押和相關功能,同時保護驗證者密鑰。
根據項目工程師的說法,攻擊者通過閃電貸借入了460萬BONE代幣,並暫時獲得了對驗證者訪問權限的控制。通過控制十二個驗證者籤名密鑰中的十個,攻擊者獲得了超過三分之二的多數,並從橋接合約中重新定向資金。記錄顯示,224.57姨太和926億SHIB被移除,價值約240萬美元。
對代幣和驗證者操作的影響
開發者確認,由於質押延遲,借入的BONE代幣立即被鎖定,阻止了攻擊者保持影響力。隨着交易活動的激增,BONE的價格最初漲,但隨着漏洞消息的傳播,價格很快下跌。
該事件還涉及K9 Finance的治理代幣KNINE。攻擊者獲得了約700,000美元的KNINE,但被阻止出售這些持有的代幣。K9 Finance DAO將該錢包列入黑名單,使這些代幣在公開市場上無法出售。
緊急措施與調查
在漏洞發生後,Shiba Inu 的開發者聘請了包括 Hexens、Seal 911 和 PeckShield 在內的外部安全公司來分析這一攻擊。調查人員正在審查驗證者訪問是如何被操控的,以及保護措施爲何未能防止未經授權的提款。
系統中的高級開發人員Kaal Dhairya表示,閃電貸操作被認爲是高度結構化的,可能在幾個月前就已準備好。他確認執法機構已被告知此事件。開發人員還表示,如果資金被歸還,他們願意與攻擊者進行談判,包括可能的賞金。
這一事件突顯了跨鏈橋和基於驗證者治理結構所面臨的持續風險。在這種情況下,驗證者密鑰的控制使得提款的快速執行超出了防御能力。盡管立即採取的措施限制了進一步的損失,但此次漏洞展示了攻擊者繼續在去中心化系統中利用的脆弱性。開發者表示,正在採取額外措施來保護驗證者訪問權限,防止未來發生類似攻擊。調查仍在繼續,社區正在監測被盜資金是否通過其他網路轉移。
