HypurrFi披露“舍入误差”漏洞,已暂停XAUT0与UBTC市场新增借贷 | 加密百科深度分析
加密百科独家解读
这件事本质上是一个在复杂金融软件里发现的“数学漏洞”,就像在自动售货机里找到一种特定的拍打顺序,能让它多吐出一罐饮料。
1. 漏洞到底是什么?
“舍入误差”听起来很高深,其实可以理解为“零头计算错误”。在Aave V3 3.5之前版本的某些代码逻辑中,当用户进行存入、借出这一系列操作时,系统在处理极小额资金(尤其是涉及小数点后很多位的代币,如与黄金、比特币锚定的XAUT0、UBTC)的利息或数量计算时,可能会因为“四舍五入”的方式,产生极其微小的误差。攻击者通过精心设计,反复快速地进行“存入-借出-还款-取出”的循环,就能像滚雪球一样,让这个微小的误差不断扩大,最终从资金池里“套”出实实在在的代币。这属于一种“精度攻击”。
2. 为什么只影响XAUT0和UBTC市场?
这类攻击通常针对的是“计价单位最小、单价最高”的资产。XAUT(锚定黄金)和UBTC(封装比特币)这类资产,单个代币价值很高,但在计算时会被拆分成很多小数位。攻击者操纵小数点后很多位的细微误差,累积起来套取的资产价值却很高,使得攻击有利可图。对于单价较低的普通代币,同样的误差可能毫无经济价值。
3. HypurrFi的处理方式意味着什么?
他们的操作是标准的危机应对流程:
暂停新增借贷:相当于发现了银行金库门锁的一个潜在问题,立刻暂停办理新的存款和贷款业务,防止有人利用这个漏洞继续作案。
允许提现和还款:保障普通用户的正常权利,你可以随时取走自己的钱或偿还贷款,资金可以流出,但不能进行可能触发漏洞的复杂流入操作(新的供应和借贷)。
内部监控发现:这表明项目方有主动的链上风险监控系统,而不是等到用户资金损失后才被动反应,这是一个积极的安全信号。
资金无风险:当前声明意味着漏洞被及时发现并冻结,攻击者尚未成功盗走资金,或盗取的金额极小且在可控范围内。
4. 对用户和行业的启示
对于HypurrFi用户:只有涉及那两个特定市场的新的存借操作被暂停,其他资金和功能不受影响。你的资产是安全的,无需恐慌性操作。
对于行业:这再次凸显了DeFi乐高组合的风险。HypurrFi基于Aave的代码构建,一个底层广泛使用的开源协议中的潜在漏洞,会像涟漪一样扩散到所有使用它的分叉项目中。这也是为什么HypurrFi呼吁其他Aave分叉项目主动联系共享信息,这是共同提升生态安全的重要举措。
技术层面:在以太坊坎昆升级完成、网络性能提升后,更复杂的金融应用得以发展,但与之相伴的,对智能合约数学精度和极端条件测试的要求也达到了前所未有的高度。每一次这类事件的发现和修复,都在推动整个行业代码安全性的进步。
背景资料 (原快讯)
HyperEVM 原生去托管借贷协议 HypurrFi 在 X 平台发文表示,Aave V3 3.5 之前版本存在“舍入误差”漏洞,在特定条件下攻击者可通过反复执行供应/提取及借贷/偿还循环操作提取底层代币,受影响的市场为 HypurrFi Pooled 中的 XAUT0 与 UBTC。目前用户资金不存在风险,为确保安全相关市场已暂停新的供应与借贷操作,提现与还款功能仍可正常使用,其余市场运行正常。HypurrFi 补充表示,已通过内部监控系统迅速在链上发现该问题并及时冻结受影响市场,同时正与其他 Aave 部署方及安全研究人员协作处理,并邀请其他 Aave 分叉项目联系以获取更多安全信息。
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。