上周,BlueMove DEX 锁定池中约 70 万枚 SUI(价值约 50 万美元)被盗,引发社区猜测此事可能是内鬼所为。
Quantum Void Labs 创始人 Tyler Simpson 上周六发布的截图显示,BlueMove 提供的锁定流动性池中有超过 70 万 SUI 被转出。Simpson 起初指责该平台自行抽走流动性,暗示其行为构成“犯罪”,但随后改口称项目方遭到了攻击。次日,他声称 BlueMove 在 5 月 31 日进行的一次升级中“自己植入了后门”,为攻击铺平了道路。
Simpson 指出,升级中添加了“add_liquidity_returns”等不可变函数以及“double-mint LP inflation”功能,40 多天后攻击开始。因此他将此次事件描述为“延迟拉地毯”(delayed rug pull)。
BlueMove 对此否认并解释称,攻击者利用了“BlueMove 旧版 AMM 合约中长期存在的算术溢出漏洞”,从 389 个池中抽走流动性。该漏洞至少自 2023 年起就已存在,BlueMove 承认一次忽略此漏洞的升级部分导致了攻击的发生,因为升级后无法再进行任何修补。由于升级权限(UpgradeCap)已于 6 月 3 日被销毁,BlueMove 目前无法通过链上路径修复或禁用有漏洞的 v1 合约。修复方案需要“独立的 admin/freeze 能力(如果 UpgradeCap 之外存在)或完全迁移到经过审计的新合约”。
BlueMove 还向一个链上地址发送消息,试图联系黑客并达成白帽赏金协议。消息称:“你盗走了 BlueMove DEX 池约 40 万美元。作为白帽赏金,请保留 30%,并在 48 小时内将 70% 返还至我们的 Sui 地址。如果返还,我们将视为问题解决;否则将采取所有可行的法律和追回措施。”黑客可保留约 15 万美元(按 70 万 SUI 约值 50 万美元计算)。
BlueMove 表示,若黑客在 48 小时内未回应,将赔偿所有受影响用户,项目未来将关闭。目前 BlueMove 运营仍暂停,调查继续进行。SUI Network 发言人在被问及此事时表示“不予置评”。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。