Back to Blog

Popsicle Finance 攻擊事件的模仿者

Code Auditing
August 9, 2021
2 min read

我們的系統觀察到幾筆呼叫 SorbettoFragola 合約「collectFees(0,0)」的交易。其中一些是試圖發起類似 (0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc) 攻擊的模仿者。幸運的是,資金池中的代幣數量有限。

“2021–08–04T12:17:27Z” : [ “0xfdeb455027202aa1e82e0eef85075870db0fb4a2427e81bc3a01973024923c39” ],

“2021–08–07T07:33:36Z” : [ “0xdb5303b6e5aa0148bdd31fd5c51319243940755e956002b820033b1eba602ef6” ],

“2021–08–03T22:53:42Z” : [ “0xcd7dae143a4c0223349c16237ce4cd7696b1638d116a72755231ede872ab70fc” ],

“2021–07–21T22:06:24Z” : [ “0x631cdd776ceeb062a6c71ebddd7357a5d873182446382c03bd8abaf85deb69e4” ],

“2021–08–04T11:01:18Z” : [ “0xa4430da5cc039b84213b44e4ca6ade9750fab987fbab3da27a11bbd0c7d23ee6” ],

“2021–08–05T14:46:05Z” : [ “0xf7d36fff17b56d5396539c8573ffeb8abd4b67ee22f4a7c492f2bd0ddfba8272” ],

“2021–08–06T11:26:57Z” : [ “0xb25e3f872896a0fde22ce60b57553b5304aa4584c47bdb293589bdbd3317de65” ],

“2021–08–05T11:52:23Z” : [ “0x1af887449dac564272fa15a8d91012759e40c1356b6ffcd5c88d2ac50c8c8502” ],

“2021–08–04T10:22:49Z” : [ “0xe86742e4c6831c6a46278d9a0143adbc8885a6f56191c52045e775ee22f870b0” ],

“2021–08–02T05:36:13Z” : [ “0x2016024bcb3ab283f367dfb34fced088db170c3c6cd026aa9f5c968654fd0142” ],

“2021–07–31T01:56:50Z” : [ “0xf34d0039dc0b20174e77cec510d7a094a2e81b4161a2a537de95b1fd089ae6f9” ],

“2021–08–06T07:34:22Z” : [ “0x2810a6f9f158c4e463e165e0aee6fecb1e617295e2215e015ee03d7265bd1e5a” ],

“2021–08–04T08:39:46Z” : [ “0xcc5a321ac3897beae976bceeeb651fa62f9975df90dd6431e73a8416bdf723b9” ]

關於 BlockSec

BlockSec 是一家開拓性的區塊鏈安全公司,由一群全球傑出的安全專家於 2021 年創立。公司致力於增強新興 Web3 世界的安全性和易用性,以促進其大規模應用。為此,BlockSec 提供智慧合約與 EVM 鏈的安全審計服務,用於安全開發與主動威脅阻斷的 Phalcon 平台,用於資金追蹤與調查的 MetaSleuth 平台,以及協助 Web3 建構者在加密世界中高效衝浪的 MetaSuites 瀏覽器擴充功能。

迄今為止,公司已服務超過 300 家知名客戶,包括 MetaMask、Uniswap Foundation、Compound、Forta 和 PancakeSwap;並已獲得 Matrix Partners、Vitalbridge Capital 和 Fenbushi Capital 等頂尖投資者兩輪數千萬美元的融資。

官方網站:https://blocksec.com/

官方 Twitter 帳號:https://twitter.com/BlockSecTeam

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit