深潮 TechFlow 消息,4 月 29 日,據鏈上分析師 PeckShield(@PeckShieldAlert)監測,一名用戶持有的 Alchemix Yearn yvVault 頭寸(代幣 $yvWETH)遭到攻擊,損失估計約 100 萬美元。
攻擊根源在於該用戶此前曾向一個未經驗證的合約授權(合約地址:0x143a),該合約於 10 天前部署。經反編譯分析,該合約存在漏洞,可被利用執行任意調用(arbitrary call execution)。攻擊者通過上述漏洞,成功轉移了受害者的 yvVault 頭寸。
目前,PeckShield 已公開披露該漏洞的具體邏輯。建議用戶檢查並撤銷對未知或未經驗證合約的代幣授權,以降低資產風險。
添加收藏
分享社交媒體
