Back to Blog

電子報 - 2025年12月

Code Auditing
December 31, 2025
2 min read

12 月三大 DeFi 安全事件

Yearn Finance:約 900 萬美元

12 月 1 日,Yearn Finance 位於以太坊上的 yETH 池遭到攻擊,導致總損失超過 900 萬美元。在外部安全團隊的協助下,當天成功挽回了約 239 萬美元(857.49 pxETH)。

該漏洞存在於 _calc_supply() 函數中,該函數使用迭代法來計算新的供應近似值。不安全的數學運算導致了捨入誤差和下溢問題。儘管漏洞本身看起來相對簡單,但攻擊者執行了複雜的操作步驟來進行利用,將流動池的供應量操縱至零,隨後提取了利潤。

16 天後,該協議遭受了第二次攻擊,原因是其舊版合約(iEarn)受到波及。此次事件利用了早於 2023 年識別出的已知配置錯誤漏洞。第二次事件造成了 30 萬美元的損失,使該協議本月的總影響金額接近 1,000 萬美元。

閱讀官方事後調查報告以獲取詳細攻擊分析

Trust Wallet:約 700 萬美元

聖誕節當天,Trust Wallet 的 Chrome 瀏覽器擴充功能(v2.68)遭受嚴重安全入侵,導致約 700 萬美元的用戶資金被竊。

根本原因是代碼庫中被植入了惡意後門,懷疑源於針對開發團隊的社交工程攻擊。該後門會將用戶的助記詞上傳至攻擊者控制的伺服器,從而洩露所有使用該特定版本擴充功能生成或導入的助記詞。攻擊者隨後在多個鏈上轉移了用戶資金,並將其匯入非 KYC 交易所

事件發生後,Trust Wallet 團隊發布了緊急更新以移除後門,並承諾為受影響的用戶制定賠償方案。這次漏洞事件嚴正提醒我們,安全性必須涵蓋協議的整個生命週期。除了鏈上代碼審計外,保護鏈下基礎設施並保持持續監控對於保障用戶資產至關重要。

Ribbon Finance:約 270 萬美元

12 月 12 日,以太坊上的 Ribbon Finance 遭到攻擊,損失達 270 萬美元。

根本原因是 Oracle 合約中的 setAssetPricer() 函數存取控制不當,允許任何人隨意設定資產價格。攻擊者利用這一點,先設定一個看起來合法的價格預言機以避免被發現,因為該協議僅在整週的間隔內結算期權。在建立並購買看漲期權倉位後,攻擊者等到行權日升級合約,將良性預言機替換為惡意預言機,並設定人為誇大的資產價格,隨後行使期權以提取利潤。

此事件凸顯出存取控制仍然是智慧合約安全中的關鍵環節。權限管理上的單一疏忽就可能使協議面臨重大風險。在部署前進行全面的安全審計,審查所有管理功能,對於識別並解決此類漏洞至關重要。

以上資訊基於 2025 年 12 月 30 日 00:00 (UTC) 的數據。

以上為 12 月安全事件總結。

您可以在我們的安全事件庫中了解更多資訊。

保持關注,確保安全!

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit