鼓狮财经:慢雾安全专家余弦近日发布深度分析,指出Asterix遭受的攻击并非孤立事件,而是与此前Flooring Protocol及BMP遭遇的攻击如出一辙。尽管底层协议存在差异——一个基于DN404,另一个基于BT404,但攻击的核心逻辑高度一致,均为“高位NFT ID位移操作溢出复用”。这一发现揭示了攻击者正在系统性地挖掘此类协议的共性漏洞。
据悉,Asterix团队昨日正式披露了一起严重的合约安全事件。6月8日,攻击者通过精心策划的242笔交易,入侵了Uniswap v4上的ASTX代币流动性池,成功盗取约30枚ETH。深入调查显示,漏洞根源在于DN404早期版本中存在的致命缺陷:缺乏对代币ID的批准操作限制检查。攻击者利用了这一机制,先通过过时的代币授权在池中反复卖出代币套取ETH,随后利用伪造的ID提取等额代币,这种循环操作最终导致流动性池资金被彻底耗尽。
面对智能合约不可变且无法修补的现状,风险防控迫在眉睫。Asterix团队已紧急建议所有用户立即停止与当前流动性池及代币合约的交互,并正在全力规划代币迁移与安全部署方案。值得注意的是,团队在复盘后推测,攻击者可能采用了越狱版AI工具进行模糊测试,以此精准发现非常规的逻辑路径,从而实施此次盗窃。