Купить криптовалюту
Оплатить в
USD
Купить и Продажа
HOT
Покупайте и продавайте криптовалюту через Apple Pay, карты, Google Pay, банковские переводы и т. д
P2P
0 Fees
Нулевые комиссии, более 400 способов оплаты и простая покупка и продажа криптовалюты
Gate Card
Криптовалютная платежная карта, обеспечивающая бесперебойные глобальные транзакции.
Торговля
Основа
Спот
Торгуйте криптовалютой свободно
Маржа
Увеличьте свою прибыль с помощью кредитного плеча
Конвертация и блочная торговля
0 Fees
Торгуйте любым объемом без комиссий и проскальзываний
Токены с кредитным плечом
Получите простой доступ к позициям с кредитным плечом
Премаркет
Торгуйте новыми токенами до их официального листинга
Фьючерсы
Фьючерсы
Сотни контрактов, рассчитанных в USDT или BTC
Опционы
HOT
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Начало фьючерсов
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Участвуйте в мероприятиях и выигрывайте щедрые награды
Демо-торговля
Используйте виртуальные средства для торговли без риска
Earn
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
NEW
Торгуйте ончейн активами и получайте награды аирдропа!
Фьючерсные баллы
NEW
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Покупайте дешево и продавайте дорого, чтобы получить прибыль от колебаний цен
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Настроенное вами управление капиталом способствует росту ваших активов
Управление частным капиталом
Индивидуальное управление активами для роста ваших цифровых активов
Количественный фонд
Лучшая команда по управлению активами поможет вам получить прибыль без лишних хлопот
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Умное плечо
NEW
Без принудительной ликвидации до погашения, беззаботный прирост с кредитным плечом
Минтинг GUSD
Используйте USDT/USDC чтобы минтить GUSD для доходности на уровне казначейских облигаций
Еще
Популярные темы
Подробнее42.11K Популярность
76.1K Популярность
240.85K Популярность
17.4K Популярность
41.77K Популярность
Закрепить
Как ошибка пользователя стала триггером для атаки на 24 миллиона долларов через молниеносный займ: риски DeFi за безопасностью цепочки SEI
Цепь SEI подверглась атаке через флэш-займы на сумму 240 тыс. долларов; атакующий заимствовал 1,96 млн WSEI через контракт Synnax и не вернул средства. Однако ключевой момент в том, что триггером атаки стала не уязвимость смарт-контракта, а ошибка пользователя при операции в цепи. Это напоминает нам, что риски безопасности DeFi исходят не только из кода, но и из деталей операций пользователей.
Как произошла атака
Согласно мониторингу BlockSec Phalcon, полная цепь атаки выглядела так:
Ошибка оператора стала точкой прорыва
Адрес 0x9748…a714 совершил ошибку три блока назад — ошибочно перевел средства в контракт Synnax. Эта ошибочная операция могла бы быть просто обычным пользовательским промахом, но случайно обеспечила финансирование для последующей атаки. Это самое важное в данном событии: атакующий не использовал сложные эксплойты уязвимостей контрактов, а воспользовался уже имеющимися ошибочно переведенными средствами в цепи.
«Займ без возврата» флэш-займа
Затем атакующий через контракт Synnax инициировал флэш-займ, заимствовав 1,96 млн WSEI (примерно 240 тыс. долларов). Особенность флэш-займа — заимствование и возврат происходят в рамках одной транзакции, но на этот раз атакующий решил не возвращать средства. Что это означает? Либо в самом контракте есть уязвимость, позволяющая не возвращать займ, либо атакующий использовал определенный логический дефект. Согласно последней информации, атака включала две транзакции TX1 и TX2, что указывает на многоэтапную координированную операцию.
Невидимый убийца в сфере безопасности DeFi
Это событие раскрывает часто упускаемый, но очень реальный риск:
Необратимость операций в цепи
Переводы в блокчейне необратимы. Когда пользователь ошибочно переводит средства на адрес контракта, эти деньги обычно безвозвратно теряются. В данном случае именно благодаря этому ошибочному переводу у атакующего появилась возможность. Это не проблема дизайна контракта, а риск операционной ошибки пользователя.
Цепная реакция ошибок
Ошибка одного пользователя может быть использована хакером в качестве триггера для более масштабной атаки. Этот риск «пассивного участия» очень сложно предотвратить — пострадавший пользователь может даже не знать, к каким последствиям приведет его ошибка.
Гибкость механизма флэш-займа
Флэш-займ — это инновация DeFi, позволяющая осуществлять крупные займы в рамках одной транзакции без залога. Но такая гибкость также используется атакующими. Если контракт не имеет строгих проверок возврата или содержит логические дефекты, атакующий может совершить «займ без возврата».
Оценка влияния на экосистему SEI
С учетом временных рамок это событие безопасности произошло в период высокой активности экосистемы SEI. Согласно последней информации, Crypto.com и официальное лицо SEI только что запустили программу стейкинга с годовой доходностью 7%, USDC.n проходит миграцию с поощрением, а цена SEI недавно демонстрирует рост.
Как эта атака повлияет на доверие к экосистеме? На текущий момент размер убытков является относительно ограниченным (240 тыс. долларов) и был быстро обнаружен. Ключевой вопрос — как ответят официальное лицо SEI и команда Synnax. Если они быстро определят проблему, возместят убытки пострадавшим и улучшат защиту, негативное влияние будет относительно ограниченным. Однако неправильная обработка может подорвать доверие новых пользователей к экосистеме SEI, особенно тех, кто только решил участвовать в стейкинге.
Что нужно знать пользователям
Трижды подумайте перед переводом
Перед переводом в цепи обязательно подтвердите адрес получателя. Особенно при взаимодействии со смарт-контрактами убедитесь, что вы действительно переводите средства на правильный адрес контракта. После отправки отмены не будет.
Понимайте свои риски
Участие в DeFi требует не только осведомленности об безопасности самого проекта, но и понимания рисков, связанных с флэш-займами, смарт-контрактами и другими механизмами. События безопасности могут возникнуть на нескольких уровнях — на уровне кода, операций пользователей и даже ошибок участников экосистемы.
Следите за ответом官方
Когда происходят события безопасности, быстрый ответ и прозрачная коммуникация команды проекта очень важны. Опубликует ли официальное лицо SEI подробный анализ события? Будут ли они компенсировать убытки пострадавших? Это показатели осведомленности проекта о вопросах безопасности.
Заключение
Атака через флэш-займ на 240 тыс. долларов на цепь SEI по сути представляет собой наслоение «треугольных» рисков: ошибку пользователя при операции в цепи, гибкость механизма флэш-займа и возможные логические дефекты контракта. Наиболее тревожным является не сложность самой атаки, а то, что ошибка обычного пользователя смогла стать триггером для масштабной атаки. Это напоминает всем участникам DeFi, что защита от рисков должна начинаться с каждой вашей операции. Экосистема SEI растет, подобные события безопасности неизбежны в процессе роста; ключевой момент — как официальное лицо ответит и оптимизирует систему.