Back to Blog

電子報 - 2026年2月

Code Auditing
March 1, 2026
3 min read

二月三大 DeFi 安全事件

YieldBlox DAO:約 1,000 萬美元

2026 年 2 月 22 日,YieldBlox DAO 在 Stellar 的 Blend V2 上運行的一個借貸池遭到攻擊,導致損失超過 1,000 萬美元

根本原因是對可操縱價格來源的依賴。具體而言,SDEX 上的 USTRY/USDC 市場流動性極低。攻擊者清空了合法訂單並插入了異常訂單,人為地將 USTRY 價格從約 1.06 美元推高至 107 美元。Reflector 隨後以該被操縱的值更新了其價格預言機,導致借貸池嚴重高估了 USTRY 抵押品的價值。利用這種虛高的抵押品估值,攻擊者通過兩筆交易提供了少量的 USTRY 抵押品,借走了約 100 萬 USDC 和 6,120 萬 XLM。被盜資產隨後被跨鏈轉移至 Base、BSC 和 Ethereum。

重要的是,此事件並非由合約漏洞引起,而是由池運營商層面的配置失敗導致。此案例強調了對於依賴外部預言機的借貸協議而言,擁有強大且抗操縱的價格預言機至關重要。協議運營商在選擇和持續監控預言機來源時,必須保持極度謹慎。

查看深入技術分析

IoTex:約 440 萬美元

2026 年 2 月 21 日,IoTeX 的 ioTube 跨鏈橋遭遇安全破壞,導致損失超過 440 萬美元

根本原因是 Ethereum 端驗證器合約所有者的私鑰洩露。由於該跨鏈橋架構將完全的管理權限授予了單一所有者,且缺乏多重簽名或時間鎖安全保障,攻擊者得以調用驗證器合約的 upgrade() 函數,將 TokenSafeMintPool 合約的所有權轉移至攻擊者控制的地址。隨後,攻擊者通過 MintPool 鑄造了超過 4.1 億枚 CIOTX,並從 TokenSafe 中抽走了約 440 萬美元的跨鏈橋儲備資產(包括 USDC、USDT、WBTC、WETH、BUSD 等)。據項目團隊稱,截至 2 月 26 日,已鑄造的 CIOTX 代幣中約有 3.55 億枚已被永久鎖定或凍結。

此事件是典型的單點故障導致的密鑰洩露,凸顯了跨鏈橋架構中集中式管理權限帶來的巨大風險。項目團隊應避免將關鍵權限集中在單一帳戶上,特別是針對合約升級、資產託管和代幣鑄造等高風險操作。

CrossCurve:約 280 萬美元

2026 年 2 月 2 日,CrossCurve 跨鏈橋協議在多個鏈上遭到攻擊,包括 Ethereum、Arbitrum 和 Optimism。此次事件導致約 280 萬美元的損失。

根本原因在於 ReceiverAxelar 合約暴露了一個無需許可的 expressExecute() 函數,該函數繞過了 Axelar Gateway 的標準驗證過程。在 Axelar 預期的安全模型中,跨鏈消息必須首先獲得 Gateway 的批准,然後在目標鏈上通過 validateContractCall() 進行驗證。然而,expressExecute() 路徑完全跳過了此過程,僅依賴使用 sourceChainsourceAddress 參數進行白名單檢查。然而,這兩個參數均由用戶指定,且可以被攻擊者欺騙。攻擊者通過構建帶有白名單對等地址的偽造消息,繞過所有安全檢查並觸發了 Eywa CLP Portal 合約上的 unlock() 函數,釋放了 999,787,453 枚 EYWA 代幣。

此事件表明,快速執行路徑必須執行與標準執行流程相同的安全假設、驗證邏輯和訪問控制保障。任何削弱規範信任模型的優化,實際上都構成了安全旁路。

以上資訊基於 2026 年 2 月 28 日 00:00 UTC 的數據。

二月安全事件簡報到此結束。

您可以在我們的安全事件庫中了解更多信息。

保持警惕,確保安全!

Sign up for the latest updates

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit