3月10日消息,DeFi借貸協議Compound Finance近日再次遭遇前端安全事件,多名用戶報稱項目官方網站出現異常,並被重定向至疑似釣魚頁面。此次事件被認為是近期多起DeFi平台網站劫持事件中的最新案例。
據項目安全團隊在治理論壇發布的說明,攻擊者通過偽造類似域名“compOOnd”搭建釣魚網站,並將訪問者引導至該頁面。不過團隊表示,目前尚未發現用戶資金損失,受影響基礎設施帳戶的憑證已全部更換,系統風險已得到控制。
這已是Compound前端在不到兩年時間內第二次遭遇類似攻擊。此前在2024年7月,多個基於Squarespace托管的DeFi項目域名曾被黑客集中攻擊,當時Compound網站也受到影響。安全專家指出,隨著網絡釣魚工具自動化程度提高,類似攻擊的技術門檻正不斷降低。
本次事件中,用戶資金之所以未受到影響,部分原因在於核心交易接口部署方式不同。根據官方說明,用於連接錢包和執行交易的app.compound.finance子域名通過IPFS網絡提供服務,使安全團隊能夠獨立驗證其代碼完整性,從而降低前端篡改帶來的風險。
儘管此次事件未造成資金損失,但對於曾經位列DeFi頭部協議的Compound而言,近期一系列問題持續削弱市場信心。過去幾年中,該項目曾多次陷入運營和治理爭議。例如,Compound DAO此前因與風險管理服務提供商Gauntlet之間潛在利益衝突而受到社區質疑。
更早之前,2022年一次操作失誤曾導致價值超過8億美元的cETH市場暫停運行約一周時間,直到技術修復完成。此外,2021年協議升級過程中還曾出現錯誤獎勵分發事件,約1.5億美元代幣被意外發放給用戶。
分析人士指出,隨著DeFi行業規模擴大,前端安全、域名保護以及治理透明度正成為協議長期穩定運行的重要因素。對於借貸平台而言,任何網站層面的安全漏洞都可能成為攻擊者實施釣魚詐騙的重要入口。
