Conic Finance再遭黑：损失350万，CNC暴跌

Conic Finance 遭黑客攻击：DeFi 安全再敲警钟

DeFi 世界风云变幻，安全问题再次浮出水面。收益聚合器 Conic Finance，一个与 Curve 生态紧密相连的协议，近日遭遇了两次黑客攻击，损失惨重。这不仅让投资者蒙受损失，也再次引发了人们对 DeFi 协议安全性的担忧。

第一次攻击发生在 21 日晚间，黑客利用 ETH Omnipool 资金池的漏洞，盗取了价值 326 万美元的以太币。区块链安全公司 Beosin 监测到这笔交易，并及时发出警报。Conic Finance 官方随后确认了攻击事件，并紧急禁用了 ETH Omnipool 的存款功能。

这次攻击的根源在于重入漏洞。Conic Finance 对 Curve V2 池中 ETH 的 Curve 元注册表返回的地址存在错误假设，这使得黑客能够执行攻击。安全公司派盾 (Peckshield) 分析指出，漏洞来自 Coinic 编写的 Curve LP Oracle V2 合约。虽然他们之前的审计发现了类似的只读型重入问题，但新推出的 Curve LP Oracle V2 合约也出现了同样的问题，而该合约并不在之前的审计范围内。

Beosin 进一步解释说，黑客利用此漏洞操纵了 steCRV、cbETH/ETH-f、rETH-f 等代币的价格，从而转移了比他们存入的更多的流动性代币。这就像是玩了一场“空手套白狼”的游戏，黑客利用漏洞，从资金池中攫取了巨额财富。

然而，事情并没有就此结束。Conic Finance 在凌晨再次遭到攻击，这次的目标是 crvUSD Omnipool。官方随即关闭了所有 Omnipool 存款，并于早上暂时全面关闭 Omnipool。

第二次攻击与 ETH Omnipool 的重入漏洞无关。黑客通过利用 crvUSD Omnipool 获利约 30 万美元。Conic Finance 官方建议所有用户立即申请退款并撤销对 Conic 的应用程式批准，并承诺将全额退还用户丢失的代币，还将为符合条件的账户发放 CNC 代币作为补偿。这无疑是对受害者的一种安慰，但同时也暴露了 DeFi 协议在安全方面存在的巨大隐患。

受黑客攻击事件影响，Conic Finance 的总锁仓量 (TVL) 从 1.56 亿美元暴跌近 67%，目前仅剩 5,193 万美元；原生代币 Conic (CNC) 更是一度暴跌超过 77%。这无疑给投资者带来了巨大的打击，也让整个 DeFi 社区为之震惊。

Conic Finance 的遭遇再次提醒我们，DeFi 领域在快速发展的同时，安全问题不容忽视。智能合约的漏洞、预言机攻击、闪电贷攻击等安全风险层出不穷。开发者需要不断提升安全意识，加强代码审计，采用更安全的编程模式，才能有效防范黑客攻击，保护用户的资产安全。对于投资者而言，选择信誉良好、经过充分审计的 DeFi 协议，也是降低风险的重要手段。