3 月份三大 DeFi 事件
Resolv Protocol:約 8,000 萬美元
2026 年 3 月 22 日,Resolv 遭遇安全漏洞,導致 8,000 萬美元* 的損失。
根本原因是特權基礎設施金鑰遭竊。攻擊者利用竊取的金鑰濫用特權交換結算流程,在三次攻擊交易中鑄造了超過 8,000 萬枚 USR,且並未提供相應的抵押品。雖然根本原因很明確,但此事件揭露了該專案在鏈上與鏈下缺乏廣泛的安全控制。該專案在鑄造審批期間未執行嚴格的驗證,也沒有相應的監控策略來及時檢測和應對此次違規。
值得注意的是,影響範圍遠不止於 8,000 萬枚未經授權鑄造的 USR。由於 Resolv 資產被廣泛用作多個借貸協定的抵押品,其脫鉤引發了更廣泛的傳染效應。據 Chaos Labs 報導,使用自動化收益追求策略的鏈上策展人缺乏即時風險控制,繼續將新資金投入已受損的市場。這場始於局部漏洞的攻擊迅速升級為跨協定的傳染事件,導致借貸協定產生了數百萬美元的壞帳。
*損失金額是根據 USR 1 美元的掛鉤價值估算的。
BitcoinReserveOffering:約 270 萬美元
2026 年 3 月 5 日,以太坊上的 BitcoinReserveOffering 合約遭到攻擊,損失約 270 萬美元。
根本原因是 mint() 函式中的業務邏輯缺陷,在處理完整的 ERC-3525 SFT 存款時,鑄造邏輯被執行了兩次。由於 ERC-3525 繼承自 ERC-721,安全轉帳會觸發 onERC721Received() 回調。在回調內部,計算出 BRO 代幣金額並鑄造給呼叫者。然而,在回調返回後,外部的 mint() 繼續執行並進行了第二次鑄造操作,導致每筆存款發行的 BRO 數量翻倍。這使得攻擊者能夠通過 攻擊交易 中的重複銷毀與鑄造週期來膨脹其 BRO 餘額。
為防止類似問題,協定應確保資產核算在每次存款操作中僅進行一次,並在觸發回調的任何外部呼叫之前提交狀態更新。此外,應增加不變性檢查,以確保鑄造金額永遠不會超過底層抵押資產價值。
Venus Protocol:約 215 萬美元
2026 年 3 月 15 日,BNB Chain 上的 Venus THE (Thena) 市場 遭遇了捐贈攻擊結合市場操縱。此事件導致協定產生約 215 萬美元的壞帳,而攻擊者在鏈上淨損失了 約 470 萬美元。
Venus 是一個 Compound V2 分叉的借貸協定。受影響的市場使用 THE 作為其底層資產,而這些資產在鏈上的流動性極淺。捐贈攻擊之所以成為可能,是因為市場合約從合約的原始餘額中導出 totalCash。這使得攻擊者能夠直接向市場捐贈 THE,從而增加 totalCash 並拉高 exchangeRate。利用這些膨脹的抵押品,攻擊者借出流動資產,將其兌換成更多 THE 並推高 THE 的市場價格。這些獲取的 THE 代幣隨後被進一步捐贈到市場中,持續加劇攻擊的影響。
此事件為借貸協定提供了兩個方面的警示:會計邏輯與風險配置。協定應實施抗操縱的會計機制,準確反映資產價值,且不能被捐贈攻擊所扭曲。此外,必須仔細配置供應上限、借貸上限和 LTV(貸款價值比)等關鍵風險參數,以限制協定的風險敞口。
如需詳細分析,請閱讀我們的深度報告:
https://blocksec.com/blog/venus-thena-donation-attack
上述資訊基於 2026 年 3 月 31 日 UTC 00:00 的數據。
以上即為 3 月份安全事件簡報。如需深入了解區塊鏈安全事件和 Web3 安全趨勢,您可以探索我們的資源。
您可以在我們的 安全事件庫 (Security Incidents Library) 中了解更多資訊。
保持資訊靈通,確保安全!
