軟體漏洞致使加密貨幣交易平臺被盜取三千多萬美元

駭客利用MonoX Finance智慧合約軟體的漏洞抬高數字通證的價格後套現。

區塊鏈初創公司MonoX Finance週三表示，一名駭客利用公司智慧合約軟體的漏洞，盜取了三千多萬美元。

該公司使用去中心化的MonoX金融協議，允許使用者交易數字通證，且交易門檻比傳統交易所更低。MonoX Finance公司代表11月曾表示：“專案所有者無需達到特定的資本門檻就可以上架通證。他們不需要為資金池提供流動性，可以專注於利用資金建設專案。MonoX的工作原理是，將存入的通證與vCASH穩定幣組合成虛擬對，形成一個單幣種的資金池。”

MonoX Finance釋出文章稱，一名駭客利用公司軟體的會計差錯抬高MONO通證價格，並透過MONO通證將資金池中的所有其他通證套現。按照Ethereum或Polygon區塊鏈（這兩個區塊鏈均支援MonoX協議）上的通證價格衡量，此次損失高達三千多萬美元。

具體來說，駭客使用同一種通證作為買入和賣出的通證，該方法以一種通證的價值去兌換另一種通證。每次兌換之後，MonoX計算並更新兩種通證的兌換價格，使用者賣出的通證價格下降，使用者買入的通證價格上漲。

由於買入通證的價格更新會覆蓋賣出通證的價格更新，駭客透過來回兌換同一種通證，大幅抬高了MONO通證的價格，隨後又透過MONO通證兌換了Ethereum和Polygon區塊鏈上價值三千多萬美元的其他通證。

同種通證之間的兌換其實沒有任何現實意義，交易軟體本不應該支援此類操作，但事實上卻發生了——還是在MonoX今年接受了多次安全審計的情況下。

智慧合約的隱患

安全諮詢公司Trail of Bits的CEO、智慧合約安全專家Dan Guido表示：“針對智慧合約的攻擊屢見不鮮，很多開發者不會花工夫去定義程式碼的安全屬性。雖然有審計機制，但如果所謂的審計只是找個聰明人花點時間查查程式碼，那又有什麼價值呢。必須透過測試，才能知道智慧合約會不會精準執行你的要求。換句話說，必須定義明確的安全屬性並採用相應的技術，才能評估智慧合約的合規性。”

Guido還表示：“軟體都需要漏洞緩解措施，智慧合約也不例外。所以，我們需要主動發現漏洞，承認漏洞會引發不安全事件，進而建立監測系統。此外，還需要廣泛運用軟體驗證技術來證明合約正常運轉。大多數智慧合約出現安全問題，都是因為開發者們只採用了漏洞緩解措施。有些智慧合約和協議雖然非常龐大複雜、極具價值，卻能規避風險事件；相比之下，也有很多剛剛釋出就遭到惡意利用。”

區塊鏈研究員Igor Igamberdiev在推特上解構了此次事件中被盜的通證，其中涉案金額較高的通證包括包裝以太幣、MATIC通證和WBTC通證，而涉案金額較少的通證則有包裝比特幣、Chainlink、Unit Protocol、Aavegotchi和Immutable X。

駭客入侵在去中心化金融領域並非個例

除了MonoX，很多去中心化金融協議和機制都存在漏洞。今年10月，駭客利用Indexed Finance流動性池再平衡機制中的漏洞盜取了1500多萬美元。11月初，區塊鏈分析公司Elliptic表示，去中心化金融協議的漏洞在今年前10個月已導致100多億美元被盜，損失額是2020年全年損失的7倍。

Elliptic的分析報告指出：“不夠成熟的底層技術給了駭客可乘之機，讓他們得以盜取使用者資金，而流動性池使犯罪分子能夠將勒索和詐騙等犯罪所得洗白。利用去中心化技術的漏洞實施違法行為已漸成趨勢，可以稱之為去中心化犯罪。”

MonoX Finance週三釋出的文章表示，團隊在過去一天中已採取以下措施：

• 透過Ethereum主網上的交易發起訊息，嘗試與駭客對話。

• 暫停智慧合約服務，透過補丁修復漏洞並嚴格測試修復結果。制定完善的補償計劃，獲得安全合作伙伴的確認後再恢復智慧合約服務。

• 聯絡各大交易平臺，監控並儘可能停用與此次攻擊相關的錢包地址。

• 與安全顧問合作，定位駭客，降低未來風險。

• 對本平臺和Tornado Cash之間的關聯交易做了參照比對。

• 搜尋與去中心化應用前端互動中遺留的元資料。

• 根據關聯交易互動情況篩選“可疑”錢包地址，例如攻擊前曾大量提取流動性的錢包地址。