二月三大 DeFi 安全事件
YieldBlox DAO:約 1,000 萬美元
2026 年 2 月 22 日,YieldBlox DAO 在 Stellar 的 Blend V2 上運行的一個借貸池遭到攻擊,導致損失超過 1,000 萬美元。
根本原因是對可操縱價格來源的依賴。具體而言,SDEX 上的 USTRY/USDC 市場流動性極低。攻擊者清空了合法訂單並插入了異常訂單,人為地將 USTRY 價格從約 1.06 美元推高至 107 美元。Reflector 隨後以該被操縱的值更新了其價格預言機,導致借貸池嚴重高估了 USTRY 抵押品的價值。利用這種虛高的抵押品估值,攻擊者通過兩筆交易提供了少量的 USTRY 抵押品,借走了約 100 萬 USDC 和 6,120 萬 XLM。被盜資產隨後被跨鏈轉移至 Base、BSC 和 Ethereum。
重要的是,此事件並非由合約漏洞引起,而是由池運營商層面的配置失敗導致。此案例強調了對於依賴外部預言機的借貸協議而言,擁有強大且抗操縱的價格預言機至關重要。協議運營商在選擇和持續監控預言機來源時,必須保持極度謹慎。
IoTex:約 440 萬美元
2026 年 2 月 21 日,IoTeX 的 ioTube 跨鏈橋遭遇安全破壞,導致損失超過 440 萬美元。
根本原因是 Ethereum 端驗證器合約所有者的私鑰洩露。由於該跨鏈橋架構將完全的管理權限授予了單一所有者,且缺乏多重簽名或時間鎖安全保障,攻擊者得以調用驗證器合約的 upgrade() 函數,將 TokenSafe 和 MintPool 合約的所有權轉移至攻擊者控制的地址。隨後,攻擊者通過 MintPool 鑄造了超過 4.1 億枚 CIOTX,並從 TokenSafe 中抽走了約 440 萬美元的跨鏈橋儲備資產(包括 USDC、USDT、WBTC、WETH、BUSD 等)。據項目團隊稱,截至 2 月 26 日,已鑄造的 CIOTX 代幣中約有 3.55 億枚已被永久鎖定或凍結。
此事件是典型的單點故障導致的密鑰洩露,凸顯了跨鏈橋架構中集中式管理權限帶來的巨大風險。項目團隊應避免將關鍵權限集中在單一帳戶上,特別是針對合約升級、資產託管和代幣鑄造等高風險操作。
CrossCurve:約 280 萬美元
2026 年 2 月 2 日,CrossCurve 跨鏈橋協議在多個鏈上遭到攻擊,包括 Ethereum、Arbitrum 和 Optimism。此次事件導致約 280 萬美元的損失。
根本原因在於 ReceiverAxelar 合約暴露了一個無需許可的 expressExecute() 函數,該函數繞過了 Axelar Gateway 的標準驗證過程。在 Axelar 預期的安全模型中,跨鏈消息必須首先獲得 Gateway 的批准,然後在目標鏈上通過 validateContractCall() 進行驗證。然而,expressExecute() 路徑完全跳過了此過程,僅依賴使用 sourceChain 和 sourceAddress 參數進行白名單檢查。然而,這兩個參數均由用戶指定,且可以被攻擊者欺騙。攻擊者通過構建帶有白名單對等地址的偽造消息,繞過所有安全檢查並觸發了 Eywa CLP Portal 合約上的 unlock() 函數,釋放了 999,787,453 枚 EYWA 代幣。
此事件表明,快速執行路徑必須執行與標準執行流程相同的安全假設、驗證邏輯和訪問控制保障。任何削弱規範信任模型的優化,實際上都構成了安全旁路。
以上資訊基於 2026 年 2 月 28 日 00:00 UTC 的數據。
二月安全事件簡報到此結束。
您可以在我們的安全事件庫中了解更多信息。
保持警惕,確保安全!
