Purrlend漏洞攻击在HyperEVM和MegaETH上窃取150万美元

Purrlend 在一起与可疑管理员钱包更新相关的 DeFi 漏洞攻击中损失 150 万美元。了解 HyperEVM 和 MegaETH 上发生了什么。

Purrlend 是一个建立在 HyperEVM 和 MegaETH 上的借贷协议，遭遇了一次重大漏洞攻击。 

攻击者在两个网络上共抽走约 150 万美元。 

此次漏洞事件可追溯至一笔可疑的管理员多签交易，该交易在攻击发生前数小时授予了未经授权的跨链桥权限。 

该协议已暂停所有操作并展开调查。

Purrlend 管理员钱包更新如何触发漏洞攻击

据报道，一笔关键交易发生于 UTC 时间凌晨 1 点 20 分（马来西亚时间上午 9 点 20 分）。 

管理员多签更新了借款上限，并将角色分配给一个未知地址。

该地址随后获得了跨链桥权限，从而能够铸造无抵押代币。简而言之，代币在没有任何实际抵押物支撑的情况下被铸造出来。

这类访问权限在 DeFi 借贷系统中极为敏感。将其授予未经验证的地址，为大规模抽取资金打开了大门。

社区迅速将该钱包活动标记为可疑。关于是谁授权该交易的问题至今悬而未决。

Purrlend 在其官方账号上确认检测到了异常活动。 

团队表示协议已暂停，后续将提供进一步更新。目前尚未发布任何额外的技术细节。

HyperEVM 和 MegaETH 被盗资金明细

链上分析师 kirbycrypto 对被盗资产进行了详细拆解。 

HyperEVM 遭受的损失更大，共损失 1,197,488 美元，其中包括 449,683 USDC、214,125 USDT0 和 194,745 USDH。其他被盗资产包括 wstHYPE、UBTC、UETH、kHYPE 和 WHYPE。

MegaETH 录得损失 324,549 美元，攻击者从该链上取走了 163,169 USDT0、36.8 WETH 和 75,745 USDm。 

两者合计，总损失约达 152 万美元。Kirbycrypto 在 X 上发布了完整明细，引用了钱包级别的交易数据。

被攻击的资产主要是稳定币和封装代币，这类资产通常是 DeFi 漏洞攻击中的高流动性目标。

其跨链流转的便利性使其对攻击者极具吸引力。

另请阅读：

社区反应与 DeFi 艰难四月持续

社区成员在各社交平台上纷纷表达不满。 

多名用户指出此前已有预警信号。其中一个令人担忧的问题是，该协议在 MegaETH 代币活动前夕受到大力推广。

也有人将其称为潜在的内部作案，但目前尚无证据证实该说法。

目前尚未追回任何资金。Purrlend 团队也未公开分享任何恢复计划。截至本报告发布时，调查仍在进行中。

此事件进一步加重了 DeFi 行业的困境。仅四月份，各类攻击和漏洞事件造成的损失就已超过 6 亿美元。 

Purrlend 加入了本月遭遇安全漏洞的协议名单，这一趋势引发了外界对 DeFi 治理结构中访问控制问题的广泛关注。

本文 Purrlend Exploit Steals $1.5M on HyperEVM and MegaETH 最先出现在 Live Bitcoin News。