12 月三大 DeFi 安全事件
Yearn Finance:約 900 萬美元
12 月 1 日,Yearn Finance 位於以太坊上的 yETH 池遭到攻擊,導致總損失超過 900 萬美元。在外部安全團隊的協助下,當天成功挽回了約 239 萬美元(857.49 pxETH)。
該漏洞存在於 _calc_supply() 函數中,該函數使用迭代法來計算新的供應近似值。不安全的數學運算導致了捨入誤差和下溢問題。儘管漏洞本身看起來相對簡單,但攻擊者執行了複雜的操作步驟來進行利用,將流動池的供應量操縱至零,隨後提取了利潤。
16 天後,該協議遭受了第二次攻擊,原因是其舊版合約(iEarn)受到波及。此次事件利用了早於 2023 年識別出的已知配置錯誤漏洞。第二次事件造成了 30 萬美元的損失,使該協議本月的總影響金額接近 1,000 萬美元。
Trust Wallet:約 700 萬美元
聖誕節當天,Trust Wallet 的 Chrome 瀏覽器擴充功能(v2.68)遭受嚴重安全入侵,導致約 700 萬美元的用戶資金被竊。
根本原因是代碼庫中被植入了惡意後門,懷疑源於針對開發團隊的社交工程攻擊。該後門會將用戶的助記詞上傳至攻擊者控制的伺服器,從而洩露所有使用該特定版本擴充功能生成或導入的助記詞。攻擊者隨後在多個鏈上轉移了用戶資金,並將其匯入非 KYC 交易所。
事件發生後,Trust Wallet 團隊發布了緊急更新以移除後門,並承諾為受影響的用戶制定賠償方案。這次漏洞事件嚴正提醒我們,安全性必須涵蓋協議的整個生命週期。除了鏈上代碼審計外,保護鏈下基礎設施並保持持續監控對於保障用戶資產至關重要。
Ribbon Finance:約 270 萬美元
12 月 12 日,以太坊上的 Ribbon Finance 遭到攻擊,損失達 270 萬美元。
根本原因是 Oracle 合約中的 setAssetPricer() 函數存取控制不當,允許任何人隨意設定資產價格。攻擊者利用這一點,先設定一個看起來合法的價格預言機以避免被發現,因為該協議僅在整週的間隔內結算期權。在建立並購買看漲期權倉位後,攻擊者等到行權日升級合約,將良性預言機替換為惡意預言機,並設定人為誇大的資產價格,隨後行使期權以提取利潤。
此事件凸顯出存取控制仍然是智慧合約安全中的關鍵環節。權限管理上的單一疏忽就可能使協議面臨重大風險。在部署前進行全面的安全審計,審查所有管理功能,對於識別並解決此類漏洞至關重要。
以上資訊基於 2025 年 12 月 30 日 00:00 (UTC) 的數據。
以上為 12 月安全事件總結。
您可以在我們的安全事件庫中了解更多資訊。
保持關注,確保安全!
