安全机构 Innora 披露以太坊理财协议 Saturn 两处严重漏洞,截至报告发布仍未修复
安全机构 Innora 于 4 月 14 日发布报告,指出以太坊理财协议 Saturn 存在提款冻结与资金截留两类严重漏洞,理论风险金额达 426 万美元,且漏洞在报告发布时仍处于未修复状态。
安全机构 Innora 于 4 月 14 日公开发布针对以太坊理财协议 Saturn 的安全审查报告,揭示两处高危漏洞。
第一处为提款冻结漏洞:在协议正常业务操作过程中,无需外部攻击介入,即可触发全体用户资金被锁定的情形,最短冻结期为 30 天,极端情况下可无限期延续。
第二处为资金截留漏洞:协议内特权地址每次操作最多可合法截留 33.33% 的资金。按报告发布时数据,单次最大截留金额约为 15.7 万美元,理论总风险敞口达 426 万美元。
报告还指出,Saturn 协议逾 90% 的资产由特权地址以链下方式管理,用户对资金安全的保障完全依赖于对该地址持有方的信任。截至报告发布,上述两处漏洞均未得到修复。
需要注意的是,报告标题提及 3500 万美元资金存在被冻风险,但正文未提供该数字的具体计算依据或数据来源,该数字的可靠性暂无法核实。此外,特权地址的实际归属方、Innora 是否已向 Saturn 团队进行漏洞预披露及后者的回应情况,均未在报告中说明。
解读
此次披露涉及两类性质不同的风险:冻结漏洞属于协议机制设计缺陷,可在无恶意行为者介入的情况下自然触发,对用户资金流动性构成直接威胁;截留漏洞则与特权地址的权限设计相关,涉及协议治理结构的信任假设。90% 以上资产依赖链下管理这一披露,进一步凸显该协议在去中心化程度上的局限。在漏洞未修复且特权地址身份不明的情况下,相关协议用户需自行评估资金敞口风险。