NEAR 生態借貸協議 Rhea Finance 遭 DeFi 攻擊，損失約 1,840 萬美元

【要點】NEAR 生態借貸協議 Rhea Finance 遭黑客利用孖展交易功能漏洞入侵，據報損失約 1,840 萬美元。攻擊者透過偽造資金池及精心設計的兌換路徑轉移資金，事件再度引發市場對 DeFi 滑點保護機制的安全憂慮。 Rhea Finance 表示，平台近日遭遇加密資產攻擊，初步確認被抽走資金約 1,840 萬美元，較早前外界估算的約 760 萬美元明顯更高。市場消息指，黑客主要針對協議的滑點保護及交易處理邏輯，令主池流動性幾乎被抽乾，對協議資金造成重大損害。 事件發生後，Rhea Finance 管理層稱將動用可用資源，為受影響用戶爭取追回損失。 【事後報告披露攻擊手法】Rhea Finance 隨後發布事後分析（postmortem），指出攻擊者並非隨機入侵，而是有計劃地利用系統對交易的處理方式。報告指，攻擊者透過設計特定 swap 路徑操控流程，從而開立大量孖展倉位。 按報告描述，攻擊者把借入的債務代幣（debt tokens）導向由其控制的偽造代幣資金池，協議端僅收到極少量倉位代幣（position tokens）。這種不對稱令多個倉位出現抵押不足，觸發系統連鎖清算，最終「耗盡協議的儲備池」。團隊確認事件直接衝擊儲備並造成系統內的「已實現損失」。 【對用戶及行業的影響】受影響資金池的流動性提供者正承受直接損失，協議原生代幣 RHEA 亦在事件後下跌。是次事故令市場再次關注 DeFi 在特殊機制（例如滑點保護）上的風險點，安全與審計團隊亦正檢視其他協議的相似設計，以防止類似漏洞再被利用。 該事件發生在 Drift Protocol 早前遭入侵之後；據報 Drift Protocol 事件涉及約 2.8 億美元損失，攻擊者利用偽造身份及惡意連結詐騙投資者。