Bedrock - Rekt

Bedrock 刚刚学到了一个昂贵的教训：为什么要仔细检查你的代码。

他们的 uniBTC 保险库出现了一个严重错误，导致人们可以用以太坊轻松获得比特币。这个问题甚至让量子物理学家也感到困惑。

9 月 25 日，在任何人提出“智能合约审计”之前，这一数字炼金术就成功将 200 万美元变成了现金。

该漏洞像一种特别具有传染性的加密病毒一样蔓延到 8 个区块链网络，允许用户以比“超级印钞机”还快的速度铸造 uniBTC。

在又一次 DeFi 崩溃之后，我们不禁反思：当“代码即法律”失效时，是否就变成了“先到先得”？

图片来源：Dedaub、Bedrock

在这个高风险的 DeFi 打地鼠游戏中，Dedaub 击中了关键一击。

这些代码侦探们在Bedrock的uniBTC保险库合约中找到了一个危险的漏洞。如此诱人的漏洞，仿佛能让人们看到闪烁的美元符号。

我们谈论的是价值7500万美元的资金，分散在至少 8 条不同的链上，等待着某人来撬开锁。

Dedaub 按照其内心的保罗·里维尔 (Paul Revere) 的风格行事，没有浪费时间。

他们在Twitter上警告了Bedrock，并迅速联系了安全专家，而此时大多数人还没有意识到即将发生的混乱。

然而在 DeFi 世界，时间不等人。

当 Bedrock 团队可能还在梦见开兰博基尼和度假海岛时（或者只是单纯在睡觉），这个漏洞已经从潜在威胁变成了实际灾难。

在 Dedaub 发出数字求救信号的仅两小时后，漏洞就被人利用了。

一群机会主义者发现，Bedrock 的智能合约简直是在“邀请”攻击。

损失有多大？200 万美元消失的速度比你说“去中心化金融”的速度还快。

但问题是——单单考虑到 uniBTC 在以太坊上达到 7500 万美元的市值，这可能只是昂贵冰山的一角。

当区块链侦探们拼凑数字犯罪现场时，他们发现自己正面临着一个如此基本的漏洞，这个漏洞甚至会让一年级的编码学生脸红。

根据事后分析，Bedrock 智能合约的问题并非简单的数学错误。

从本质上讲，该问题源于未能正确处理非原生 BTC 链上的原生代币。

问题的关键在于SigmaSupplier合约没有注册NATIVE_BTC。

这一疏忽导致总供应量始终显示为零，禁用了用于限制未经授权铸币上限的机制。

由于这一保护措施在不知不觉中被禁用，Vault 合约的检查形同虚设。

结果？用户得以使用非原生 BTC 链上的原生代币铸造 uniBTC——而这一过程本不应该发生。

本质上，Bedrock 的智能合约在按错误的规则运行，允许用户以协议从未预期的方式铸造 uniBTC。

这不是一个数学错误，而是对代币类型和链交互的基本误操作。

这一失误打开了跨多条链的漏洞大门。

**9 月 25 日部署的易受攻击的保险库合约，允许 ETH 以 1:1 的比率与 uniBTC 进行兑换。**

在一个大胆的例子中，攻击者使用 30.8 ETH 铸造了 30.8 uniBTC，并在一笔交易中迅速出售了 28.8 uniBTC，换取了 27.8 WBTC。

攻击者地址：

0x2bFB373017349820dda2Da8230E6b66739BE9F96

攻击交易： 0x725f0d65340c859e0f64e72ca8260220c526c3e0ccde530004160809f6177940

这只是众多攻击中的一例，累计共造成 200 万美元的损失。

更糟糕的是，Bedrock 的反应比吃了镇静剂的树懒还要慢。

在 Dedaub 发出警报后两个多小时，他们才公开承认这一攻击，又花了近 4.5 小时才最终暂停漏洞合约。

在 DeFi 的快节奏世界中，这相当于一个世纪——足够时间让数字资金逃之夭夭，马棚烧毁，灰烬冷却。

更让人不解的是，这次合约升级竟然没有进行审计。

在 DeFi 的世界里，跳过审计就像是去跳伞却决定不带降落伞。

这是一个大胆的策略，Cotton。让我们看看它是否奏效了。

这次事故的影响迅速显现。随着消息以病毒式 Meme 的速度传播，DeFi 社区迅速采取行动。

持有大量 uniBTC 的 Pendle 立即紧急暂停了他们的平台，速度比你说“不是我的包”还快。

与此同时，Bedrock 团队终于从沉睡中醒来，忙不迭地暂停了这些受影响的合约。

但在加密世界里，财富转瞬即逝，这种反应速度让人如同观看油漆变干。

损失已经造成。该漏洞在以太坊、BNBChain、Arbitrum、Optimism、Mantle、Mode、BOB 和 ZetaChain 等八条链上留下了烙印。

总共有125 名开发者（因为为什么要让一个人独享所有的乐趣？）度过了丰收的一天。

最终，Bedrock 陷入困境，面临 180 万美元的流动资金缺口，并且需要给出大量解释。

正如加密世界里常说的那样：又一天，又一个漏洞。

但这一次，跳过审计的代价是巨大的。

如果像Bedrock 这样的基础设施都能如此轻易崩塌，那么我们究竟在构建怎样的基础？

在追逐下一个大热点的过程中，我们是在打下基石，还是在埋设地雷？

*在 Bedrock 价值 200 万美元的“打脸时刻”之后，我们只能摇头

叹息。*

一个未审计的升级是如何悄无声息地渗透到一个资管规模为百万美元的协议中的？

在这次前所未有的安全疏忽之后，他们能够重建信任吗？

在快节奏的 DeFi 世界中，即使是最坚固的基础也会动摇。

Bedrock 的失误是一个鲜明的提醒：在急速追求创新的过程中，我们可能只是在流沙上建造城堡。

随着这一事件的逐步展开，不禁令人深思：在加密货币历史上，Bedrock 会被铭记为基石，还是仅仅是“做得更好”道路上的另一块垫脚石？

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。