有人如何以价值 70 美元的抵押品借入 160 万美元：Tender.Fi 漏洞利用

从基于 Arbitrum 的去中心化金融 (DeFi) 借贷平台 Tender.fi 窃取价值 159 万美元加密资产的黑客已经归还了几乎所有资金，并保留了大约 97,000 美元作为赏金。

Tender.fi 于 3 月 7 日上午被利用，使用该项目的官方 Twitter 句柄 确认 几分钟后在推文中发布了该事件。

Tender.fi 被剥削 159 万美元

根据这条推文，Tender.fi 透露它已经注意到并正在调查“异常数额”的贷款。 该平台还在调查期间暂停了借贷服务。

链上数据显示攻击者利用了一个预言机故障。 该漏洞允许黑客以价值 71 美元的 GMX 代币存款作为抵押，借入高达 159 万美元的以太 (ETH) 代币。

漏洞利用后， 黑客 为 Tender.fi 留下了一条链上消息，说：“看起来你的预言机配置错误。 联系我解决这个问题。” 这表明剥削者是 白帽 黑客。

几个小时后，Tender.fi 透露已联系攻击者协商并讨论赏金协议的条款。

“白帽组织已经就 debank 问题进行了接触，我们目前正在讨论如何补救这种情况。 当我们有更多信息时，我们会向您更新，”该协议说。

黑客保留 97,000 美元作为赏金

七小时后，该协议透露它已与黑客达成协议，资金将被退还。

大约一个小时后，黑客返还了 149 万美元，并保留了 96,500 美元作为赏金。 Tender.fi 和区块链安全公司 啄盾 确认的 这 交易.

翻译：白帽将偿还所有贷款减去 62.158670296 ETH，这将作为帮助保护协议的赏金保留。 https://t.co/H4ZMPLH9pz 团队将把 Bounty 的价值偿还给协议，这样就不会出现坏账，用户将继续…… https://t.co/5bbmKu7zEe

— Tender.fi (@tender_fi) 2023 年 3 月 7 日