4 月安全月报：全网链上总损失环比 3 月下降 42.11%

4 月 19 日 Hedgey Finance 在以太坊和 Arbitrum 上存在重大安全漏洞，损失约 4470 万美元。黑客利用了一个缺乏用户输入验证的漏洞，获得了易受攻击合约的授权，从而窃取了合约中的资产。该事件成为4月损失最大REKT安全事件。

攻击流程：

攻击交易：

https://www.oklink.com/cn/eth/tx/0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

1) 从 Balancer 闪电贷 130 万USDC；

2) 通过 createLockedCampaign() 将 130 万 USDC 存入 ClaimCampaigns 合约；

3) 由于输入验证的缺失，ClaimCampaigns 合约错误地对恶意地址进行了 130 万 USDC 的授权；

4) 通过 cancelCampaign() 将存入的 130 万 USDC 取回。至此，攻击者获得了合约 130 万 USDC 的授权，攻击者可以在随后的攻击交易中将合约中的 130 万 USDC 盗走；

5) 偿还闪电贷；

https://www.oklink.com/cn/eth/tx/0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

6) 利用获得的授权从 ClaimCampaigns 合约中窃取 130 万 USDC。

问题代码

https://etherscan.deth.net/address/0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511