$145K 黑客利用Merkl推出未经验证的去中心化金融骗局

黑客发现了一种新的方式来利用去中心化金融 (DeFi) 用户。这一次，他们利用 Merkl，一个一站式去中心化金融激励平台，创建虚假的、未经验证的活动，窃取用户的充值。该骗局通过 Euler 协议针对 Sonic 的用户。它已经造成了超过145,000美元的损失。

黑客创建虚假的高收益活动

根据去中心化金融用户YAM，黑客利用Merkl的开放设置创建了虚假的活动。这些活动似乎提供了三位数的年化收益率。该骗局邀请用户将USDC充值到看似合法的Sonic上的Euler金库。然而，一旦用户充值了他们的资金，攻击者就完全抽走了这些资金。

因为 Euler Finance 是一个无许可的协议，任何人都可以在没有批准的情况下部署市场。攻击者利用这一功能发起了一个虚假市场。使用一个名为 scUSD 的代币作为抵押，USDC 作为债务。他们接着操纵了预言机价格，这是一个在去中心化金融中使用的关键数据源，将其设置为每个代币荒谬的 $1 百万。这使他们能够以单个 scUSD 借取 700,000 USDC。这实际上使他们完全控制了保险库的资金。

诈骗是如何运作的

一旦虚假市场上线，攻击者就在 Merkl 上发起了一场未经验证的活动。他宣传极高的收益以吸引充值。充值 USDC 的用户其资金被借出，兑换成 ETH。然后转移到 RAILGUN 项目，这是一个常用于隐藏交易的隐私协议。

链上数据显示主要操作员的钱包地址为0x8ba913e…，资金最终发送到0xa86399…，然后消失在RAILGUN中。有趣的是，一名用户，标识为0xc0f8fe…，在攻击者抽走资金之前成功提取了他们的充值。这可能是因为黑客没有积极监控这个钱包。

来自去中心化金融社区的反应

在发现此问题后，YAM敦促用户在与未经验证的Merkl活动互动时保持谨慎。他们还呼吁Merkl团队通过增加更强的弹窗警告，使用户在充值到此类活动时更加困难。

Euler Labs的联合创始人兼首席执行官Michael Bentley回应确认，该保管库明显标记为未经验证，并被标记为安全风险。他指出，Euler网站只有在用户手动切换选项以承认风险后，才允许访问未经验证的保管库。“我们现在将永久阻止所有指向这个特定保管库的链接，以防止进一步使用，”Bentley补充道。

社区成员还提出了关于DeFi用户如何验证市场的预言机是否合法的问题。YAM解释说，预言机为DeFi应用程序提供真实的价格数据。它们通常由市场的策展人控制，必须小心设置。一个小错误，比如错误的小数或不安全的多重签名，可能会导致像这样的重大漏洞。

呼吁加强保护措施

这一事件突显了去中心化金融中反复出现的问题。即无权限创新与用户安全之间的平衡。像 Merkl 和 Euler 这样的平台注册允许任何人自由创建或加入市场。然而，这种开放性也给攻击者留下了行动的空间。尽管项目明确标记未验证的活动，但激增的诈骗数量表明，仅仅发出警告可能还不够。

用户现在呼吁增加更多的阻力，例如强制验证检查或额外确认，以保护充值。目前，专家建议用户仅与经过验证的活动互动，并在充值前仔细检查合同细节。14.5万美元的漏洞再次提醒我们，即使在去中心化金融的开放世界中，谨慎仍然是最好的防御。