Bent Finance - 翻车



**另一个项目被锤弯(bent)变了形。 **

这一次,似乎是来自内部的结构性失败。

Bent Finance是一个”提高curve收益的质押和流动性挖矿平台"。

在过去的几周里,一个地址一直在扭曲(bent)该协议的规则,在事情被理顺之前提走约175万美元。

当消息传出且BENT的代币价格下跌时,该团队随即发出一个平淡的警告,通知用户已经暂停奖励,但没有资金损失

然而,PeckShield声称已经确定该漏洞来自团队内部...

......该团队被迫发布更新,这可以作为内鬼作案的指控:

来源: BlockSecTeam

与技术性的智能合约操纵相比,这个案例要简单得多。

Bent Finance11月30日更新cvxCRV合约,手动调整了攻击者的地址余额。

这给攻击者分配了巨额的奖励,远远超过了Bent Finance本身的TVL。

尽管这个漏洞已经存在了近三周,但在Bent Finance最近被DeBank收录时问题才变得清晰,当时DeBank显示,攻击者的钱包有价值数十亿美元的待付奖励。

看一下主钱包的代币转账,我们看到少量的小额存款,然后是一些非常大的提款,一次是在12月12日(26.3万cvxcrv-f),另一次是今天上午02:45+UTC(25万cvxcrv-f)。

这些代币随后被发送到攻击者的其他地址,在那里套现成CRV,再兑换为ETH并发送到Tornado Cash。

从12月12日至今,通过Tornado Cash共洗了440个ETH(约175万美元)。

DeBank收录Bent Finance在今天这个案例中扮演的角色,以及Nansen最近的7500万美元融资彰显出这些服务为日益复杂的行业带来的价值。

虽然链上的数据足以为那些懂行(和有动机)的人调查提供所有必要的信息,但这些工具大大增加了发现低知名度项目中的违规行为的概率。

然而,在Bent Finance的案例中,鉴于漏洞的来源以及团队的反应,这看起来很可能是一场内鬼作案。

是抽毯子还是团队成员耍无赖?

最近, 黑客事件占据了头条,像本文这样的小事很快就会被遗忘。

也许这正是Bent Finance团队所期望的......


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。