Compound Finance再陷前端安全风波

近日,DeFi借贷协议Compound Finance再次出现前端安全问题,多名用户报告项目官方网站异常,被重定向至疑似钓鱼页面。此次事件被视为近期多起针对DeFi平台的网站劫持案例之一,反映出前端安全防护仍面临严峻挑战。

攻击手法与应对措施

据Compound安全团队在治理论坛披露,攻击者利用形似“compOOnd”的伪造域名搭建恶意站点,并诱导用户访问。目前尚未发现用户资产受损,相关基础设施账户凭证已全部更换,系统风险已被控制。

技术架构助力风险隔离

本次事件中,用户资金未受波及的关键原因在于核心交易接口采用独立部署机制。app.compound.finance子域名通过IPFS网络提供服务,使安全团队可对代码完整性进行独立验证,有效降低前端篡改带来的潜在威胁。

历史问题叠加信任危机

这已是Compound在不到两年内第二次遭遇同类攻击。此前2024年7月,多个基于Squarespace托管的DeFi项目域名遭集中劫持,当时Compound亦受影响。更早前,2022年一次操作失误导致价值超8亿美元的cETH市场暂停运行近一周;2021年协议升级中也曾因错误奖励分发,向用户意外发放约1.5亿美元代币。

行业反思:前端安全成关键防线

随着DeFi生态规模扩大,前端安全、域名保护与治理透明度日益成为协议可持续发展的核心要素。任何网站层面的漏洞都可能成为攻击者实施钓鱼诈骗的重要入口,尤其对依赖用户交互的借贷平台而言,信任基础正经受持续考验。