Back to Blog

電子報 - 2025年12月

Code Auditing
December 31, 2025
2 min read

12 月三大 DeFi 安全事件

Yearn Finance:約 900 萬美元

12 月 1 日,Yearn Finance 位於以太坊上的 yETH 池遭到攻擊,導致總損失超過 900 萬美元。在外部安全團隊的協助下,當天成功挽回了約 239 萬美元(857.49 pxETH)。

該漏洞存在於 _calc_supply() 函數中,該函數使用迭代法來計算新的供應近似值。不安全的數學運算導致了捨入誤差和下溢問題。儘管漏洞本身看起來相對簡單,但攻擊者執行了複雜的操作步驟來進行利用,將流動池的供應量操縱至零,隨後提取了利潤。

16 天後,該協議遭受了第二次攻擊,原因是其舊版合約(iEarn)受到波及。此次事件利用了早於 2023 年識別出的已知配置錯誤漏洞。第二次事件造成了 30 萬美元的損失,使該協議本月的總影響金額接近 1,000 萬美元。

閱讀官方事後調查報告以獲取詳細攻擊分析

Trust Wallet:約 700 萬美元

聖誕節當天,Trust Wallet 的 Chrome 瀏覽器擴充功能(v2.68)遭受嚴重安全入侵,導致約 700 萬美元的用戶資金被竊。

根本原因是代碼庫中被植入了惡意後門,懷疑源於針對開發團隊的社交工程攻擊。該後門會將用戶的助記詞上傳至攻擊者控制的伺服器,從而洩露所有使用該特定版本擴充功能生成或導入的助記詞。攻擊者隨後在多個鏈上轉移了用戶資金,並將其匯入非 KYC 交易所

事件發生後,Trust Wallet 團隊發布了緊急更新以移除後門,並承諾為受影響的用戶制定賠償方案。這次漏洞事件嚴正提醒我們,安全性必須涵蓋協議的整個生命週期。除了鏈上代碼審計外,保護鏈下基礎設施並保持持續監控對於保障用戶資產至關重要。

Ribbon Finance:約 270 萬美元

12 月 12 日,以太坊上的 Ribbon Finance 遭到攻擊,損失達 270 萬美元。

根本原因是 Oracle 合約中的 setAssetPricer() 函數存取控制不當,允許任何人隨意設定資產價格。攻擊者利用這一點,先設定一個看起來合法的價格預言機以避免被發現,因為該協議僅在整週的間隔內結算期權。在建立並購買看漲期權倉位後,攻擊者等到行權日升級合約,將良性預言機替換為惡意預言機,並設定人為誇大的資產價格,隨後行使期權以提取利潤。

此事件凸顯出存取控制仍然是智慧合約安全中的關鍵環節。權限管理上的單一疏忽就可能使協議面臨重大風險。在部署前進行全面的安全審計,審查所有管理功能,對於識別並解決此類漏洞至關重要。

以上資訊基於 2025 年 12 月 30 日 00:00 (UTC) 的數據。

以上為 12 月安全事件總結。

您可以在我們的安全事件庫中了解更多資訊。

保持關注,確保安全!

Sign up for the latest updates

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit