一月三大 DeFi 安全事故
Truebit Protocol:約 2,600 萬美元
2026 年 1 月 8 日,以太坊上的 Truebit Protocol 遭到攻擊,導致約 2,600 萬美元的損失。此事件凸顯了穩健智能合約安全性的至關重要。
根本原因是 TRU 代幣購買定價函數中存在整數溢位漏洞。該合約使用 Solidity v0.6.10 編譯,預設並未強制執行溢位檢查。攻擊者精心設計了輸入參數,導致購買成本計算過程中的一個大型中間值發生溢位,回繞為一個極小的數字。這使得攻擊者能夠以極低甚至為零的 ETH 成本購買大量 TRU 代幣。
攻擊者在單次攻擊交易中進行了多輪套利,反覆執行 TRU 代幣的買賣操作。值得注意的是,該協議原本設計了買賣之間的定價不對稱性,以防止立即進行買賣套利。然而,由於受害合約部署時使用了缺乏溢位保護的舊版 Solidity,從而暴露了攻擊面,最終導致協議儲備中的 8,535 ETH 被洗劫一空。
使用 BlockSec 的智能合約審計保護您的 dApp
別讓整數溢位等漏洞威脅您的協議。我們的專家團隊會進行徹徹底底的智能合約審計,在風險演變成代價高昂的攻擊前識別並緩解它們。
Web3 最佳安全審計專家
在發布前驗證設計、程式碼與業務邏輯
SwapNet 與 Aperture:約 1,700 萬美元
2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭遇攻擊,源於一個共同的漏洞,導致總損失約 1,700 萬美元。該次攻擊對 Matcha Meta 用戶影響巨大,受影響資金超過 1,300 萬美元。
儘管受影響的兩個合約均為閉源,但透過分析反編譯後的字節碼以及鏈上交易軌跡,仍可重構攻擊路徑。根本原因是易受攻擊的函數中對關鍵用戶輸入的驗證不足,導致攻擊者能夠執行帶有惡意參數的任意呼叫。在一系列攻擊交易中,攻擊者建構了 ERC20 transferFrom() 呼叫,從先前曾向受害合約授予代幣授權的用戶那裡抽走代幣。這突顯了一個常見的 DeFi 安全風險。
此次攻擊涉及的兩個協議均未公開原始碼,這使得社群難以透過公開審查來識別安全漏洞。同時,基於授權的攻擊手法為行業敲響了警鐘:用戶必須謹慎管理其代幣授權,而協議則應實施時間鎖或設置授權上限等保護機制,以從根本上緩解此類攻擊風險。
Phalcon Security:即時威脅監控與攻擊防禦
在 SwapNet 和 Aperture 等複雜攻擊發生時保持領先。Phalcon Security 提供針對可疑鏈上活動的即時監控與警報,協助您偵測並防止攻擊行為。
Saga:約 700 萬美元
2026 年 1 月 21 日,Saga 生態系中的 SagaEVM 遭到攻擊,導致未經授權的代幣鑄造,損失約 700 萬美元。此事件凸顯了全層級穩健區塊鏈安全的重要性。
雖然根本原因尚未完全披露,但官方來源已證實,Ethermint 與 CosmosEVM 程式碼中存在一個共同漏洞,該漏洞被 SagaEVM 所繼承,從而導致了此次攻擊。攻擊者部署了惡意智能合約執行攻擊,鑄造了大量 Saga Dollars。攻擊成功後,幾乎所有被盜資金均被迅速移轉至以太坊網絡。
此事件突顯了區塊鏈生態系中程式碼繼承的風險。當基礎程式碼庫存在漏洞時,所有繼承該程式碼的項目都可能面臨相同的威脅,從而產生連鎖性的安全漏洞。針對此類生態系進行基礎架構審計至關重要。
以上資訊基於 2026 年 1 月 31 日 00:00 UTC 的數據。
以上是一月份安全事件的簡報。如需深入了解區塊鏈安全事件分析與 Web3 安全趨勢,您可以探索我們的資源。
您可以在我們的安全事件庫中了解更多資訊。
保持知情,確保安全!
