Coinbase的Base网络遭遇22万美元WETH智能合约黑客攻击

顶尖智能合约审计公司CertiK发现Base区块链存在重大漏洞，未经验证的智能合约地址0xE143b486ab0413从受害者账户中窃取了55枚封装以太坊(WETH)，价值约22万美元。

CertiK指出，该漏洞源于uniswapV3SwapCallback()函数的访问控制机制存在缺陷。该漏洞允许攻击者通过非法transferFrom调用清空受害者钱包。

攻击过程解析

作为快速发展的以太坊Layer-2链，Base网络在过去数月获得广泛关注。CertiK的Skylens工具追踪到受害者(0xf1a3686f4D)被盗的55.4枚WETH最终流入攻击者地址。受害者此前已签署合约授权，这种典型的DeFi操作失误被攻击者加以利用。

此次攻击与Cyvers Alerts在2024年10月报告的百万美元盗币案手法相似，均利用了Base网络上未经验证的借贷合约漏洞。这两起事件凸显了与未经测试代码交互的持续风险，以及授权前验证合约的必要性。

安全启示

CertiK建议用户立即撤销对涉事地址的授权许可。存在缺陷的回调机制缺乏对消息发送者的基本验证，这也是此前Uniswap V3审计中发现的问题类型。

随着DeFi的发展，此类攻击事件提醒用户必须保持警惕，仔细检查智能合约，并遵循最佳安全实践以保护资产安全。