最近的一次去中心化金融攻击突显了某些DeFi金库标准实现中的漏洞如何被使用熟悉工具（如闪电贷）的复杂威胁行为者利用，以操纵汇率和误导价格预言机。

2月27日，一名攻击者执行了一次基于闪电贷的“捐赠攻击”，从Aave借入约400万美元，以利用Mountain Protocol的包裹收益稳定币wUSDM的ERC-4626金库代币，人工抬高其内部汇率。基础稳定币USDM由短期美国国债作为抵押。

作为捐赠攻击的一部分，威胁行为者将wUSDM的汇率从1.06抬高至1.7，然后使用两个账户在借贷平台Venus Protocol上进行自我清算。尽管Venus迅速反应以冻结市场，但根据风险管理公司Chaos Labs最近发布的详细事后分析，攻击者仍然获利约20万美元，而Venus因此遭受超过71.6万美元的净损失。

“两个团队都实施了适当的紧急措施——冻结市场、调整风险参数和重置汇率，”Lightblocks Labs的DeFi负责人Yoni Keselbrener在接受The Block采访时表示。Keselbrener为eOracle的预言机基础设施做出贡献，该网络是基于EigenLayer开发的以太坊原生预言机网络，允许将现实世界数据集成到去中心化应用中。

被攻击的金库实施了2022年5月首次引入的ERC-4626标准，尽管这些金库后来变得越来越受欢迎。然而，事后分析指出，该金库标准“…在借贷协议中使用时并未包含防止汇率操纵的安全措施。”

借贷平台Euler Finance在2024年1月发布了一份关于ERC-4626金库漏洞的研究报告，认为大多数金库并未明确实施安全检查以防止汇率操纵。“我们预计在许多情况下，可能需要结合两种或更多的缓解机制以获得更大的效果，”作者们写道。

Chaos Labs在其事后分析中承认，安全策略本可以防止此次攻击。“为了减轻这一攻击向量，wUSDM合约可以使用跨链汇率预言机，或者在适当披露后，Venus将实施安全措施以限制汇率的升值，”Chaos Labs写道。“为了进一步减轻这一攻击向量，将为所有收益资产实施上限预言机设置——例如Aave的CAPO机制——以防止通过人工收益激增进行操纵。”

“这适用于任何金库[顺便说一下]，不仅限于标准化金库，”Curve Finance的X账户补充道，以回应Keselbrener讨论漏洞的帖子。“这只是借贷平台的一个常见失误。”

Keselbrener表示，CAPO标准是有效的，但需要“…额外的代码复杂性和持续的管理，以确保它们不会限制合法的收益增长，同时防止操纵。”

“随着DeFi变得越来越复杂，我们需要超越简单的价格数据源，来理解我们所整合资产的整体风险特征，”Keselbrener说。“跨链预言机基础设施的需求不是缺陷，而是额外的安全层。专业的预言机提供商还可以实施特定的安全措施，旨在检测和防止这些具体的操纵场景。”

免责声明：The Block是一个独立的媒体机构，提供新闻、研究和数据。截至2023年11月，Foresight Ventures是The Block的主要投资者。Foresight Ventures还投资于加密领域的其他公司。加密交易所Bitget是Foresight Ventures的主要有限合伙人。The Block继续独立运营，提供关于加密行业的客观、有影响力和及时的信息。以下是我们当前的财务披露。

© 2025 The Block。保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。