$145K 黑客利用Merkl推出未經驗證的去中心化金融騙局

黑客發現了一種新的方式來利用去中心化金融 (DeFi) 用戶。這一次，他們利用 Merkl，一個一站式去中心化金融激勵平台，創建虛假的、未經驗證的活動，竊取用戶的充值。該騙局通過 Euler 協議針對 Sonic 的用戶。它已經造成了超過145,000美元的損失。

黑客創建虛假的高收益活動

根據去中心化金融用戶YAM，黑客利用Merkl的開放設置創建了虛假的活動。這些活動似乎提供了三位數的年化收益率。該騙局邀請用戶將USDC充值到看似合法的Sonic上的Euler金庫。然而，一旦用戶充值了他們的資金，攻擊者就完全抽走了這些資金。

因爲 Euler Finance 是一個無許可的協議，任何人都可以在沒有批準的情況下部署市場。攻擊者利用這一功能發起了一個虛假市場。使用一個名爲 scUSD 的代幣作爲抵押，USDC 作爲債務。他們接着操縱了預言機價格，這是一個在去中心化金融中使用的關鍵數據源，將其設置爲每個代幣荒謬的 $1 百萬。這使他們能夠以單個 scUSD 借取 700,000 USDC。這實際上使他們完全控制了保險庫的資金。

詐騙是如何運作的

一旦虛假市場上線，攻擊者就在 Merkl 上發起了一場未經驗證的活動。他宣傳極高的收益以吸引充值。充值 USDC 的用戶其資金被借出，兌換成 ETH。然後轉移到 RAILGUN 項目，這是一個常用於隱藏交易的隱私協議。

鏈上數據顯示主要操作員的錢包地址爲0x8ba913e…，資金最終發送到0xa86399…，然後消失在RAILGUN中。有趣的是，一名用戶，標識爲0xc0f8fe…，在攻擊者抽走資金之前成功提取了他們的充值。這可能是因爲黑客沒有積極監控這個錢包。

來自去中心化金融社區的反應

在發現此問題後，YAM敦促用戶在與未經驗證的Merkl活動互動時保持謹慎。他們還呼籲Merkl團隊通過增加更強的彈窗警告，使用戶在充值到此類活動時更加困難。

Euler Labs的聯合創始人兼首席執行官Michael Bentley回應確認，該保管庫明顯標記爲未經驗證，並被標記爲安全風險。他指出，Euler網站只有在用戶手動切換選項以承認風險後，才允許訪問未經驗證的保管庫。“我們現在將永久阻止所有指向這個特定保管庫的連結，以防止進一步使用，”Bentley補充道。

社區成員還提出了關於DeFi用戶如何驗證市場的預言機是否合法的問題。YAM解釋說，預言機爲DeFi應用程序提供真實的價格數據。它們通常由市場的策展人控制，必須小心設置。一個小錯誤，比如錯誤的小數或不安全的多重籤名，可能會導致像這樣的重大漏洞。

呼籲加強保護措施

這一事件突顯了去中心化金融中反復出現的問題。即無權限創新與用戶安全之間的平衡。像 Merkl 和 Euler 這樣的平台註冊允許任何人自由創建或加入市場。然而，這種開放性也給攻擊者留下了行動的空間。盡管項目明確標記未驗證的活動，但激增的詐騙數量表明，僅僅發出警告可能還不夠。

用戶現在呼籲增加更多的阻力，例如強制驗證檢查或額外確認，以保護充值。目前，專家建議用戶僅與經過驗證的活動互動，並在充值前仔細檢查合同細節。14.5萬美元的漏洞再次提醒我們，即使在去中心化金融的開放世界中，謹慎仍然是最好的防御。