Back to Blog

通訊 - 2026年1月

Code AuditingPhalcon Security
February 1, 2026
3 min read
Key Insights

一月三大 DeFi 安全事故

Truebit Protocol:約 2,600 萬美元

2026 年 1 月 8 日,以太坊上的 Truebit Protocol 遭到攻擊,導致約 2,600 萬美元的損失。此事件凸顯了穩健智能合約安全性的至關重要。

根本原因是 TRU 代幣購買定價函數中存在整數溢位漏洞。該合約使用 Solidity v0.6.10 編譯,預設並未強制執行溢位檢查。攻擊者精心設計了輸入參數,導致購買成本計算過程中的一個大型中間值發生溢位,回繞為一個極小的數字。這使得攻擊者能夠以極低甚至為零的 ETH 成本購買大量 TRU 代幣。

攻擊者在單次攻擊交易中進行了多輪套利,反覆執行 TRU 代幣的買賣操作。值得注意的是,該協議原本設計了買賣之間的定價不對稱性,以防止立即進行買賣套利。然而,由於受害合約部署時使用了缺乏溢位保護的舊版 Solidity,從而暴露了攻擊面,最終導致協議儲備中的 8,535 ETH 被洗劫一空。

閱讀詳細攻擊分析

使用 BlockSec 的智能合約審計保護您的 dApp

別讓整數溢位等漏洞威脅您的協議。我們的專家團隊會進行徹徹底底的智能合約審計,在風險演變成代價高昂的攻擊前識別並緩解它們。

Web3 最佳安全審計專家

在發布前驗證設計、程式碼與業務邏輯

SwapNet 與 Aperture:約 1,700 萬美元

2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭遇攻擊,源於一個共同的漏洞,導致總損失約 1,700 萬美元。該次攻擊對 Matcha Meta 用戶影響巨大,受影響資金超過 1,300 萬美元。

儘管受影響的兩個合約均為閉源,但透過分析反編譯後的字節碼以及鏈上交易軌跡,仍可重構攻擊路徑。根本原因是易受攻擊的函數中對關鍵用戶輸入的驗證不足,導致攻擊者能夠執行帶有惡意參數的任意呼叫。在一系列攻擊交易中,攻擊者建構了 ERC20 transferFrom() 呼叫,從先前曾向受害合約授予代幣授權的用戶那裡抽走代幣。這突顯了一個常見的 DeFi 安全風險。

此次攻擊涉及的兩個協議均未公開原始碼,這使得社群難以透過公開審查來識別安全漏洞。同時,基於授權的攻擊手法為行業敲響了警鐘:用戶必須謹慎管理其代幣授權,而協議則應實施時間鎖或設置授權上限等保護機制,以從根本上緩解此類攻擊風險。

Phalcon Security:即時威脅監控與攻擊防禦

在 SwapNet 和 Aperture 等複雜攻擊發生時保持領先。Phalcon Security 提供針對可疑鏈上活動的即時監控與警報,協助您偵測並防止攻擊行為。

開始使用 Phalcon Security

偵測所有威脅,預警關鍵風險,阻斷攻擊。

立即免費試用

Saga:約 700 萬美元

2026 年 1 月 21 日,Saga 生態系中的 SagaEVM 遭到攻擊,導致未經授權的代幣鑄造,損失約 700 萬美元。此事件凸顯了全層級穩健區塊鏈安全的重要性。

雖然根本原因尚未完全披露,但官方來源已證實,Ethermint 與 CosmosEVM 程式碼中存在一個共同漏洞,該漏洞被 SagaEVM 所繼承,從而導致了此次攻擊。攻擊者部署了惡意智能合約執行攻擊,鑄造了大量 Saga Dollars。攻擊成功後,幾乎所有被盜資金均被迅速移轉至以太坊網絡。

此事件突顯了區塊鏈生態系中程式碼繼承的風險。當基礎程式碼庫存在漏洞時,所有繼承該程式碼的項目都可能面臨相同的威脅,從而產生連鎖性的安全漏洞。針對此類生態系進行基礎架構審計至關重要。

以上資訊基於 2026 年 1 月 31 日 00:00 UTC 的數據。

以上是一月份安全事件的簡報。如需深入了解區塊鏈安全事件分析與 Web3 安全趨勢,您可以探索我們的資源。

您可以在我們的安全事件庫中了解更多資訊。

保持知情,確保安全!

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security