奔跑财经2月27日消息,一名连环黑客正针对DeFi借贷协议实施攻击,迄今已盗取约350万美元。最新事件中,该攻击者利用借贷平台Ploutos Money的预言机配置漏洞,造成近40万美元损失。

加密货币安全公司CertiK指出,该项目似乎已删除网站及社交媒体账号。

预言机配置失误成关键突破口

据区块链审计机构BlockSec分析,Ploutos Money使用了Chainlink的比特币/美元价格源作为USDC的预言机报价。攻击者"仅存入8 USDC作为抵押,便借出了187枚ETH"。BlockSec同时指出攻击发生在配置错误被确认后的一个区块内。

尽管该机构暗示"攻击者密切监控并针对配置变更立即行动",但CertiK与BlockSec帖文下的众多回复猜测可能存在内部人员参与。

化名区块链调查员Tanuki42将这名攻击者与至少其他四起黑客事件关联,包括导致Moonwell遭受180万美元损失的两起百万级攻击。

上周,因配置错误的预言机将cbETH报价返回1.12美元(实际约2,200美元),Moonwell留下了180万美元坏账。导致损失发生的代码变更由Claude Opus 4.6与Moonwell贡献者共同编写。

ZK彩票平台漏洞致160万美元损失

另一起看似无关联的攻击中,基于以太坊的"私密ZK彩票"平台FOOM CASH因"存在缺陷的ZK验证器"被攻破,损失160万美元。

区块链安全公司QuillAudits分析显示,该项目在以太坊上损失130万美元,在Base上损失31.6万美元。问题源于ZK验证器使用中将两个常数设置为相同值,导致"任何人都能计算验证方程,无需密钥"。

类似攻击上周曾影响Base上的隐私协议Veil.Cash,但损失较小仅为4.5枚ETH,其中2枚ETH被白帽团队Decurity回收。