Grand Base - REKT



小偷在夜间会利用房屋开放日之机,洗劫BASE生态里大门敞开的 RWA 协议。

由于部署者钱包私钥泄露,Grand Base 遭受了 200 万美元的损失。

该漏洞首先由 Grand Base Telegram 频道的协议管理员披露。

管理员警告用户,该代币合约已不再安全,建议他们立即停止所有与合约的交易或交互,并将资金从任何与此相关的流动性池中撤出。

Peckshield 首先公开宣布了这一漏洞。

6 小时后,Grand Base 工作人员在 X 上发布的后续帖子中声称,他们已经追踪到黑客的钱包,并正在与中心化交易所协商,以冻结攻击者试图转移的任何资金。

Coinbase 的 L2 仍在经历成长的阵痛。早在 8 月,他们还在襁褓之时,Meme币 BALD 就从其持有者手中卷走了2300万美元。

不到两周,由于项目服务器被暴力破解攻击而被盗取私钥,RocketSwap 遭受了 86.9 万美元的损失。

自那以后,Base 就一直表现出色,TVL 徘徊在 1.5 亿美元左右,目前在所有公链中排名第六。

是否有人在等待着对 BASE 这个新生儿趁火打劫?

图片来源:Grand BaseDe.FiPeckshield

4 月 15 日凌晨,世界标准时间凌晨 3 点左右,Grand Base 发行的代币 GB 经历了剧烈的价格波动,导致暴跌超过 90%。

由于部署者的钱包存在安全漏洞,攻击者能够铸造并出售大约 3250 万 GB 的代币。

在造币攻击之前,Grand Base 的代币上限为 5000 万GB。

诈骗者为了铸造代币而执行的恶意交易:

交易 1:

https://basescan.org/tx/0xe8b0af9a2c7a3482958792d620328aa780097788fc18e1b7e1328a4a459132d0

交易 2:

https://basescan.org/tx/0x74237dfd7ac0e251311c71ff2c2536b146eeb68c465d47325bdd4517f34a7259

之后,为了将代币兑换成 ETH,进行了多次交易:

https://basescan.org/address/0xcfe5f1bae0da05ffe9c9c73411b8ec1a286350fc

最终,BASE 上的 ETH 跨到了以太坊上:

交易 1:

https://basescan.org/tx/0x519acbeb333fd43dead8bc66faa4d419d310d6bf8011a056ce279d26845da70d

交易 2:

https://basescan.org/tx/0x66334af4901b7d4e5e536c17fee41431aee3bde03c6da823d4d9dd5adc43aa92

被盗资金目前存放在 2 个钱包中。

钱包 1:

https://debank.com/profile/0xd8c21702b74d14b68f2580e28c10ecc53304c274

钱包 2:

https://debank.com/profile/0xb124546f9f89f178a785d539d299e372b9dc1ec6

首席技术官在 Telegram 上发表了了对该漏洞的进一步看法:

“我们一位开发人员的电脑被黑了,黑客可以通过这台电脑访问LP钱包,并控制我们的代币合约和流动性池子。该钱包还有权铸造新代币,并在市场将其全部出售之前,不停铸造新币。”

CTO 继续表示,底层 dapp 代码是安全的,并且可以轻松分叉。他们声称对代码库的每一行代码都有深入的了解。然而,GB 代币在本次攻击后需要重新上线。

根据 Grandbase 网站上的文档,有关他们合约的详细信息将很快公布,这个文档最后更新于 6 个月前。

他们的合约没有进行审计,笔者找不到任何一项审计记录。

由于看不到任何审计或合约信息,很明显 Grand Base 在安全方面已经出局。

他们会采取措施解决这些问题,还是视而不见,继续让用户承受极大的被攻击的可能?


市场最近经历了一次过山车之旅,经历了戏剧性的高点和令人反胃的低点,让投资者在动荡起伏的环境中如坐针毡。

虽然 Base 试图让更多普通人使用加密货币,但像这样的攻击事件可能会劝退一些用户。

Grand Base 团队最初确实向 Telegram 社区公布了该漏洞。

为什么团队在Telegram披露漏洞 6 个小时后,才在 X 上宣布他们受到了攻击?

在动荡的市场环境中,及时、透明的沟通对于维持社区内部的信任变得更加重要。

在相关公开平台上延迟公布该漏洞,可能会引发公众对于对该协议是否致力于保护用户权益并且保持信息透明的质疑。

随着 Grand Base 的不断发展,团队必须解决缺乏合约审计和信息更新滞后的问题,确保安全措施可以得到加强,用户信心可以得到恢复。

只有时间才能证明 Grand Base 是否能够有效地吸收这次经历中的经验教训,采取必要的预防措施来防范意外,或者是否会重蹈覆辙,使自己面临更多的安全风险。

他们能否扭转乾坤,还是继续破罐子破摔?


分享本文

REKT作为匿名作者的公共平台,我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任,无论是由我们网站的匿名作者,还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则,我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责,也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。