Back to Blog

通讯 - 2026年1月

Code AuditingPhalcon Security
February 1, 2026
3 min read
Key Insights

一月 DeFi 事件排行 Top 3

Truebit Protocol:约 2600 万美元

2026 年 1 月 8 日,以太坊上的 Truebit Protocol 被攻击,导致约 2600 万美元的损失。此次事件凸显了健全的智能合约安全性的关键重要性。

根本原因是 TRU 代币购买定价函数中存在整数溢出漏洞。该合约使用 Solidity v0.6.10 编译,该版本默认不强制执行溢出检查。攻击者构造了输入参数,导致购买成本计算中的一个大中间值溢出并回绕成一个非常小的数字。这使得攻击者能够以极低的甚至零 ETH 成本购买大量 TRU 代币。

攻击者在 单个攻击交易中 执行了多轮套利,反复执行 TRU 代币的买卖操作。值得注意的是,该协议故意设计了买卖之间的定价不对称性,以防止即时买卖套利。然而,易受攻击的合约是使用未经溢出保护的过时 Solidity 版本部署的,暴露了攻击面,并最终导致从协议储备中提取了 8,535 ETH。

阅读详细攻击分析

通过 BlockSec 的智能合约审计保护您的 dApp

不要让整数溢出等漏洞威胁您的协议。我们的专家团队进行彻底的智能合约审计,在漏洞导致高昂损失之前识别和缓解风险。

Web3 最佳安全审计公司

在上线前验证设计、代码和业务逻辑

SwapNet & Aperture:约 1700 万美元

2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭受了攻击,原因是一个共享漏洞,总损失约 1700 万美元。此次攻击严重影响了 Matcha Meta 用户,受影响资金超过 1300 万美元。

尽管两个受影响的合约都是闭源的,但可以通过分析反编译的字节码和链上交易跟踪来重建攻击路径。根本原因是易受攻击函数中关键用户输入的验证不足,允许攻击者使用恶意参数执行任意调用。在一系列攻击交易中,攻击者构造了 ERC20 transferFrom() 调用,从先前授予了代币授权给易受攻击合约的用户那里提取代币。这凸显了一个常见的 DeFi 安全风险。

此次攻击涉及的两个协议都没有开源其代码,使得社区难以通过公开审查来识别安全漏洞。同时,基于授权的攻击方法敲响了行业的警钟:用户必须谨慎管理其代币授权,而协议应实施保护机制,例如时间锁定或有上限的授权,以从根本上缓解此类攻击的风险。

Phalcon Security:实时威胁监控和攻击防护

领先于 SwapNet 和 Aperture 等复杂攻击。Phalcon Security 提供实时监控和警报,针对可疑链上活动,帮助您检测和防止攻击。

开始使用 Phalcon Security

检测每一项威胁,警报关键事件,阻止攻击。

免费试用

Saga:约 700 万美元

2026 年 1 月 21 日,Saga 生态系统中的 SagaEVM 被攻击,导致未经授权的代币铸造和约 700 万美元的损失。此次事件凸显了所有层面上健全的区块链安全性的重要性。

尽管根本原因尚未完全披露,但 官方消息源 已确认,Ethermint 和 CosmosEVM 代码中存在的共享漏洞——SagaEVM 继承了该漏洞——导致了此次攻击。攻击者部署了恶意智能合约来执行攻击,铸造了大量的 Saga Dollars。在成功攻击后,几乎所有被盗资金都被迅速转移 到以太坊网络,通过跨链桥。

此次事件凸显了区块链生态系统中代码继承的风险。当基础代码库中存在漏洞时,所有继承该代码的项目都可能面临相同的威胁,从而产生级联的安全漏洞。对这些生态系统进行全面的基础设施审计至关重要。

以上信息基于截至 2026 年 1 月 31 日 00:00 UTC 的数据。

本月安全事件简报到此结束。如需更深入地分析区块链安全事件和 Web3 安全趋势,您可以探索我们的资源。

您可以在我们的 安全事件库 中了解更多信息。

保持了解,保持安全!

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security