美金末灰飞击始烟灭议遭t协贷攻0万闪电

2025-09-14 22:09:21 [访谈] 来源：链条资本

刚刚过去的双十一凌晨，当大多数人还沉浸在购物狂欢中时，DeFi圈内却上演了一场令人咋舌的黑客大戏。北京时间11月11日凌晨2点59分，MetaScout监测系统突然拉响警报，发现稳定币协议Raft正在遭受闪电贷攻击。这场精心策划的攻击最终导致670万枚R代币被恶意铸造，总损失高达360万美元。

Raft协议：昙花一现的DeFi新星

说实话，我第一次听说Raft这个项目时还挺感兴趣的。作为一介DeFi老韭菜，我对这种通过流动性质押代币(LSDs)作为抵押的创新借贷模式相当看好。项目官网raft.fi显示，他们主打"资本高效"的卖点，用户既能享受质押收益，又能获得借贷流动性，听起来确实很美好。

可惜好景不长。这次攻击后，Raft的总锁仓价值(TVL)直接从1300万美元腰斩至700万，代币价格更是暴跌99.6%，几乎归零。这让我想起去年Luna崩盘时的场景，真是令人唏嘘。

看完整个攻击过程，我不得不感叹黑客确实有两把刷子。他们先是从AAVE闪电贷借走6000枚cbETH，然后玩了一手"数字魔术"：通过精心设计的合约交互，硬是把6001枚cbETH的抵押价值放大了1000倍！

最绝的是那个divUp函数漏洞的利用。黑客发现只要1wei的cbETH就能铸造1wei的份额代币。于是他们反复操作60次，用极少的成本就兑换走了6003枚cbETH。这操作简直就像用1块钱换走了1000块，堪称DeFi版的点石成金术。

但故事的反转来得猝不及防。当黑客把价值360万美元的1575枚ETH分成多笔转入不同交易所后，戏剧性的一幕发生了——他们居然把1570枚ETH转进了黑洞地址！这相当于把99%的战利品直接烧掉，自己只留了个零头。

看到这里我真是哭笑不得。这黑客要么是操作失误，要么就是脑子进水了。要知道这可是价值近360万美元的真金白银啊！现在攻击者钱包里只剩价值4600美元的R代币，这波操作简直比项目方还惨。

作为经历过无数次黑客事件的DeFi老鸟，我觉得这次事件有几个关键教训：

首先，智能合约中的数学计算永远是重灾区。Raft这次就是在份额计算时栽在了精度处理上。建议项目方在设计利率计算时，一定要考虑极端情况下的四舍五入问题。

其次，监控系统和熔断机制不可或缺。如果Raft能及时发现异常交易并暂停协议，或许损失能控制在更小范围。现在不少项目都开始部署内存池监控系统，这确实是值得借鉴的做法。

最后我想说，DeFi世界虽然充满机遇，但风险同样巨大。即使是看似完美的数学设计，也可能因为一个小小的计算误差而满盘皆输。作为普通用户，我们更要保持警惕，不要把鸡蛋都放在一个篮子里。

(责任编辑：访谈)