智能合约黑客:黑客铸造了价值 1600 万美元的 1B 代币
Curio 是一家现实世界资产 (RWA) 流动性公司,成为严重智能合约漏洞的受害者,导致 1600 万美元的数字资产被盗。该公司立即向社区通报了这一事件,并向用户保证他们正在积极努力解决该问题。该漏洞是在 Curio 使用的基于 MakerDAO 的智能合约中发现的,影响了以太坊方面的操作,而 Polkadot 和 Curio Chain 上的合约则不受影响。
Web3 安全公司 Cyvers 估计该漏洞造成的损失约为 1600 万美元,并将其归因于特权访问逻辑中的缺陷。 Curio 发布了一份事后报告,详细介绍了该漏洞,并概述了针对受影响用户的补偿计划。该漏洞源于投票权特权访问控制中的缺陷,允许攻击者获得未经授权的访问并操纵 Curio 的 DAO 合约。
利用该缺陷,攻击者获得了 Curio Governance (CGT) 代币,从而提升了他们在该项目智能合约中的投票权。随后,攻击者执行了导致未经授权铸造 10 亿个 CGT 代币的行动。不过,Curio 向用户保证,所有受影响的资金都将被退回。为了实现这一目标,团队计划推出新的代币CGT 2.0,并确保CGT持有者的资金完全恢复。
此外,Curio 还概述了针对流动性提供者的补偿计划,分为四个阶段,每个阶段持续 90 天,以 USDC/USDT 支付,相当于流动性池第二个代币所造成损失的 25%。这种分阶段的补偿方法表明全额报销可能需要一年的时间才能完成。此外,Curio 还表示将奖励协助追回损失资金的白帽黑客,在初始恢复阶段提供相当于追回资金 10% 的奖励。