Arbitrum 上的借贷协议 Radiant Capital 在其新推出的一个 USDC 市场中因漏洞导致损失 450 万美元后,已暂停 Arbitrum 借贷市场。
区块链安全公司 PeckShield 已经查明了漏洞的根本原因,黑客利用了 Radiant Capital 借贷协议中新市场激活期间的时间窗口。该协议是流行借贷平台 Compound 和 Aave 的一个分叉。该漏洞还依赖于 Compound 和 Aave 当前代码库中存在的一个已知舍入问题。通过利用此漏洞,攻击者能够通过重复的存款和取款操作获利。
Aave 的核心成员 Mark“Chainsaw”Zeller 对这种情况发表评论,称 Aave 已经发现了这个问题,并在几周前实施了安全措施来完全缓解这个问题。他批评许多 Aave 分叉只是复制代码,却没有采用 Aave 的健全的安全文化。