Dango 已確認,近期遭攻擊所竊取的資金已全部歸還。這是因為攻擊者與團隊合作並接受了漏洞懸賞。
今日早些時候披露的這起事件中,攻擊者最初從協議的永續合約中提取了 USDC 抵押品。然而,情況迅速得到控制,大部分資金已被確保,並隨後全數恢復。
保險基金邏輯中的漏洞被利用
根據 Dango 的說法,此次攻擊源於其風險保障金捐贈邏輯中的漏洞。
該合約允許用戶向風險保障金捐贈,但未驗證捐贈數量是否為正數。此疏忽使攻擊者能夠操縱系統,從永續合約中提取資金。
團隊表示,該漏洞是孤立的,並未影響訂單匹配、盈虧結算或強制平倉等核心交易功能。
損失受橋接限制限制
攻擊者成功將約 $410,010 USDC 橋接到 以太坊。然而,由於內建的橋接速率限制,額外的 $1.49 百萬仍留在 Dango 的鏈上。
此設計功能阻止了攻擊者完全提走被利用的資金,讓團隊有時間響應並啟動恢復工作。
Dango 在檢測到問題後不久暫停了鏈,並開始與安全合作夥伴(包括安全聯盟)協調,同時通知主要交易所和穩定幣發行方。
資金已退回,因攻擊者轉為白帽
在後續更新中,團隊確認攻擊者已全數歸還資金,並隨後獲頒漏洞賞金。
Dango 將該演員描述為「白帽」,並肯定其在發現漏洞和防止進一步損失方面的角色。
團隊表示:「所有受影響的用戶將獲得完全賠償」,並補充說,用戶資金僅限於該孤立合約,從未面臨其他風險。
協議恢復運作,並增設安全措施
問題已解決,Dango 目前正致力於部署額外的安全措施,以防止未來再次出現類似漏洞。
平台預計將很快恢復運營,其積分計劃將暫時推遲。
最終摘要
- Dango 的風險保障金邏輯存在一個漏洞,讓攻擊者得以提取資金,但橋接限制限制了損失。
- 資金後來由白帽人士全數退回,用戶未受影響,協議亦正準備恢復運作。