比特丛林：Exactly Protocol遭跨链桥攻击，损失达1204万美元

2023年8月18日，Exactly Protocol因未充分验证输入的参数遭到跨链桥攻击，导致损失达1204万美元。接下来比特丛林将详细剖解这次攻击，并提出规避风险的建议。

01 涉案资金流向

攻击者（0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042）已窃取4323枚ETH，截止到本分析完成时，已有1500 ETH通过 Across Bridge 转移到Ethereum，其余的2833以太币仍处于通过 Optimism Bridge 向Ethereum转移的过程中。

02 被攻击原因分析

https://www.oklink.com/cn/optimism/address/0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042/token-transfer

以其中一笔交易为例，并分析合约.

https://github.com/exactly/protocol/blob/8522222d9dcc017ce7a27dc33ca821c8bd4fd536/contracts/periphery/DebtManager.sol#L759

https://explorer.phalcon.xyz/tx/optimism/0x3d6367de5c191204b44b8a5cf975f257472087a9aadc59b5d744ffdef33a520e?line=3234&debugLine=3234

通过分析可得知攻击者通过传递虚假的market并替换_msgSender 为受害者地址，进而绕过 DebtManager 中的检查，随后通过 crossDeleverage 函数从_msgSender 中窃取抵押品。

03 本次安全事件造成的影响

本次攻击事件会导致用户和投资者的信心受损：这些攻击和漏洞可能会让一些用户和投资者Optimism链和Exactly Protocol项目感到担忧，用户可能担心他们的资金和个人信息的安全性，这可能导致用户减少或停止使用该平台，从而减少生态系统的活跃度。

04 规避风险的措施

为了避免类似的风险，建议采取以下措施：

·加强安全审计：对区块链项目进行全面的安全审计，包括智能合约代码审计和系统架构审查，以发现潜在的安全漏洞和风险。

·高度关注攻击向量：了解当前常见的攻击方式和漏洞利用技术，并采取相应的防御措施，如限制智能合约的权限、使用多重签名等。

·社区监督和反馈：建立积极的社区监督机制，鼓励用户和安全专家报告发现的安全问题，并及时响应和解决这些问题。

后续的调查正在进行中，bitjungle将密切关注，并向受影响的用户提供进一步支持和帮助，如果有需要请联系比特丛林。