Web3 每週安全事件匯總 | 2026 年 1 月 25 日至 2 月 1 日

在過去一週（2026年1月25日至2月1日），BlockSec 偵測並分析了六起攻擊事件，總估計損失約為 1,805 萬美元。下表總結了這些事件，後續章節則提供了每個案例的詳細分析。

1. SwapNet 事件

簡要總結

2026 年 1 月 25 日，部署在 Base、BSC 和 Arbitrum 上的 SwapNet 協議遭到攻擊，導致約 1,341 萬美元的損失。此事件源於對用戶提供的輸入驗證不足，攻擊者得以偽造呼叫，使用受其控制的參數來調用 transferFrom()。透過濫用現有的代幣授權，攻擊者有效地執行了形式為 token.transferFrom(victim, attacker, amount) 的轉帳，從而耗盡了受害者的授權資產。

背景

SwapNet 是一個去中心化交易所（DEX）聚合器，旨在透過整合來自多個鏈上來源（包括 AMM 和私人做市商）的流動性來尋找最佳交易路徑。該協議還允許用戶在執行交易時指定自訂路由器或資金池，提供了額外的靈活性。

漏洞分析

此事件源於對用戶輸入的驗證不足，導致攻擊者能夠使用任意參數觸發 transferFrom() 呼叫。因此，先前授權給受害者合約的資產（例如 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e）可以被轉移給攻擊者。

根據反編譯的字節碼，函數 0x87395540() 對關鍵輸入缺乏適當的驗證。透過將預期的路由器或資金池地址替換為代幣地址（例如 USDC），合約錯誤地將代幣視為有效的執行目標。這導致底層呼叫（low-level call）可以使用攻擊者控制的 calldata 執行。

因此，受害者合約執行了以下格式的呼叫：approvedAsset.transferFrom(victim, attacker, amount)，使得攻擊者能夠竊取所有已授權的資產。

攻擊分析

觀察到針對 SwapNet 的多次攻擊。我們以 Base 交易 0xc15df1d131e98d24aa0f107a67e33e66cf2ea27903338cc437a3665b6404dd57 為例。攻擊者僅需使用惡意輸入調用受害者合約的函數 0x87395540()，該呼叫包含兩個主要步驟：

1. 一個關鍵的內部變數（例如 v51）被設定為 USDC，繞過了預期的路由邏輯。

   

2. 使用攻擊者控制的 calldata 執行了底層呼叫，導致 USDC.transferFrom() 被調用，所有授權的 USDC 均被耗盡。

結論

此事件是由於對用戶輸入的驗證不足所導致，為函數添加適當的輸入參數檢查有助於緩解此問題。

2. Aperture Finance 事件

簡要總結

2026 年 1 月 25 日，部署在 Ethereum、Base 和 Arbitrum 上的 Aperture 協議遭到攻擊，導致約 367 萬美元的損失。根本原因是對用戶提供的輸入驗證不足，導致攻擊者可以透過內部函數 0x1d33() 觸發帶有任意參數的 transferFrom() 呼叫。結果，攻擊者能夠執行類似 approvedToken.transferFrom(victim, attacker, amount) 的呼叫，並竊取所有已授權的資產。

背景

Aperture Finance 是一個代表用戶管理集中流動性部位（例如 Uniswap V3 LP）的 DeFi 協議。其閉源合約（例如 0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913）允許用戶使用原生代幣鑄造和管理 Uniswap V3 部位。

鑄造 Uniswap V3 部位的預期工作流程

當透過函數 0x67b34120() 鑄造 Uniswap V3 部位時，合約遵循預期的三個步驟：

1. 封裝原生代幣
2. 透過內部函數 0x1d33() 進行代幣交換
3. 鑄造 Uniswap V3 部位

問題出現在第 2 步：內部函數 0x1d33() 透過一個底層呼叫執行自訂交換，其中關鍵參數（例如呼叫目標和 calldata）似乎是受用戶控制且驗證不足的，導致了意外的外部呼叫。詳細資訊請參見下文。

漏洞分析

此事件源於對底層呼叫的輸入驗證不足。當調用 0x67b34120() 時，內部函數 0x1d33() 會使用用戶提供的 calldata 執行底層呼叫，而未對呼叫目標或函數選擇器施加嚴格限制。

如下圖所示，用於觸發底層呼叫的 calldata 完全基於攻擊者的輸入。

這使得攻擊者能夠構建惡意 calldata，導致在受害者合約的上下文中執行：approvedToken.transferFrom(victim, attacker, amount)。因此，不僅 ERC20 代幣，連已授權的 Uniswap V3 部位 NFT 也可以被竊取。

攻擊分析

觀察到針對 Aperture Finance 的多次攻擊。在本節中，我們以 Ethereum 交易 0x8f28a7f604f1b3890c2275eec54cd7deb40935183a856074c0a06e4b5f72f25a 為例。

1. 攻擊者建立了一個攻擊合約 0x5c92884dFE0795db5ee095E68414d6aaBf398130。
2. 攻擊合約調用了帶有惡意輸入和 100 wei ETH (即 msg.value == 100) 的 0x67b34120() 函數。

• a. 原生 ETH 透過 WETH.deposit() 被封裝為 WETH。

• b. 調用了內部函數 0x1d33() 來執行底層呼叫。在此步驟中，在受害者合約的上下文中調用了 WBTC.transferFrom(victim, attacker, amount)，允許攻擊者竊取已授權的代幣。值得注意的是，函數 0x1d33() 的末尾有一個餘額檢查。具體而言，該函數也將餘額變更與攻擊者指定的交換輸出值（即 varg2.word2）進行了比較。因此，交易成功執行且未收到任何資產。

• c. 最後，調用了 NonfungiblePositionManager.mint() 函數，使用 100 wei WETH 為攻擊者鑄造了一個部位。

有趣的發現

透過比較正常和異常的鑄造交易，我們觀察到兩筆交易都將代幣授權給了同一個 spender（例如 OKX DEX: TokenApprove），但指定了不同的路由器地址（即 DexRouter 和 WBTC）。這表明合約可能對授權的 spender 強制執行了驗證，但在驗證實際執行目標時卻失敗了，留下了可透過任意呼叫利用的重大漏洞。

正常交易：tx link1

異常交易：tx link2

結論

此事件是由於對用戶提供的輸入驗證不足所導致，添加適當的輸入驗證有助於緩解此問題。

3. PGNLZ 事件

簡要總結

2026 年 1 月 27 日，BNB Smart Chain 上的 PancakeSwap V2 USDT–PGNLZ 資金池遭到攻擊，造成約 10 萬美元的損失。根本原因是 PGNLZ 代幣中的燃燒機制存在缺陷，允許攻擊者直接從資金池餘額中燃燒 PGNLZ。這人為減少了資金池的 PGNLZ 儲備，導致儲備失衡並扭曲了鏈上價格。攻擊者隨後利用被操縱的價格執行了交換，從而耗盡了資金池中的 USDT。

背景

PGNLZ 代幣引入了一種針對 PancakeSwap V2 資金池的燃燒機制。該燃燒機制可以在特定條件下觸發。具體來說，對於每次資金池中的購買，代幣將檢查資金池的 USDT 餘額是否達到了預定義的閾值。一旦達到該閾值，它就會從資金池中燃燒一定數量的 PGNLZ 並將 tradingEnabled 設置為 true，從而允許普通用戶與該資金池互動。當交易模式開啟且用戶在資金池中出售 PGNLZ 時，代幣會先根據前一位用戶的銷售金額燃燒資金池持有的部分 PGNLZ。

漏洞分析

核心問題是 PGNLZ 代幣引入的燃燒機制存在缺陷，易受到價格操縱攻擊。具體而言，攻擊者可以透過將接收者設置為 isExcludedFromFee 地址（即 0xdEaD）來繞過交易模式限制以操縱資金池儲備（即購買 PGNLZ）。接著，攻擊者利用燃燒機制（即透過函數 _executeBurnFromLP()）直接從資金池中燃燒 PGNLZ，進一步操縱資金池儲備。結果，攻擊者可以透過在被操縱的資金池中執行反向交換（即賣出 PGNLZ）獲利。

攻擊分析

以下分析基於該筆交易：0xc7270212846136f3d103d1802a30cdaa6f8f280c4bce02240e99806101e08121

1. 攻擊者透過 Moolah 進行閃電貸借入了 1,059e18 BTCB，並透過在 Venus 中存入 1,059e18 BTCB 借入了 30,000,000e18 USDT。
2. 當交易模式關閉時，攻擊者在 PancakeSwap V2 資金池中用 23,337,952e18 USDT 交換了 978,266e18 PGNLZ。攻擊者透過將接收者設置為 0xdEaD 繞過了相應驗證，使該交換成為可能。
3. 攻擊者在資金池中用之前擁有的 17e18 PGNLZ 交換了 USDT。在此交換期間，觸發了 _executeBurnFromLP() 函數，從資金池中燃燒了 4,240e18 PGNLZ（基於前一位用戶的代幣賣出量）。此燃燒過程使資金池儲備僅剩下 0.00000001e18 PGNLZ，進一步操縱了資金池的代幣儲備。在 PGNLZ 儲備耗盡的情況下，攻擊者僅用 17e18 PGNLZ 就從資金池中耗盡了 23,438,853e18 USDT。
4. 攻擊者償還了 Venus 中的借貸，最終獲得了 100,901e18 USDT 的利潤。

結論

此事件的根本原因源於 PGNLZ 瑕疵的燃燒機制，該機制允許攻擊者透過價格操縱攻擊從資金池中耗盡 USDT。此事件造成的總損失約為 10 萬美元。為了減輕此類問題，項目必須在系統內實施適當的存取控制，並對其燃燒機制進行全面測試，以避免潛在的價格操縱攻擊。

4. XPlayer 事件

簡要總結

2026 年 1 月 28 日，BNB Smart Chain 上的 PancakeSwap V2 XPL/USDT 資金池遭到攻擊，導致約 71.7 萬美元的損失。此事件是由於 XPL 代幣中的燃燒機制存在缺陷，允許攻擊者直接從資金池餘額中燃燒 XPL。透過人為減少資金池的 XPL 儲備，攻擊者造成了嚴重的儲備失衡並扭曲了交換價格，隨後利用被操縱的定價耗盡了資金池中的 USDT。

背景

XPL 代幣引入了一種燃燒機制，該機制會從對應資金池中燃燒 XPL 代幣，然後調用 sync() 函數來刷新資金池儲備。具體而言，在 NodeDistributePlus 合約中，可以調用 DynamicBurnPool() 函數來在執行窗口內執行每日燃燒任務。燃燒金額不得超過剩餘的每日燃燒上限。

漏洞分析

此事件的根本原因源於 XPL 合約存在的瑕疵燃燒機制。特別是 XPL 合約中的 DynamicBurnPool() 函數允許某些授權地址直接從流動性對（Liquidity Pair）中燃燒 XPL。

其中一個授權地址是 NodeDistributePlus 合約（即 nodeShareAddress），它實施了每日燃燒計劃。在授權帳戶設置每日燃燒目標後，任何調用者均可在 2 天窗口內調用 NodeDistributePlus.DynamicBurnPool()，直到達到每日燃燒上限。

因此，此設計允許任何人從對應資金池中燃燒 XPL 並強制進行儲備更新。攻擊者可以利用此設計操縱資金池儲備並執行反向交換，以耗盡資金池中的 USDT。

攻擊分析

以下分析基於該筆交易：0x9779341b2b80ba679c83423c93ecfc2ebcec82f9f94c02624f83d8a647ee2e49

1. 攻擊者透過閃電貸借入了約 239,523,169e18 USDT。
2. 攻擊者用 100e18 USDT 交換了 69e18 XPL。此步驟將資金池儲備與當前餘額同步。
3. 攻擊者用 217,118,801e18 USDT 交換了約 691,022e18 XPL。此步驟經過精心設計，旨在為隨後的儲備操縱設置資金池狀態。
4. 攻擊者調用 DynamicBurnPool() 函數從資金池中燃燒了 3,078e18 XPL。此燃燒過程將資金池的 XPL 儲備進一步操縱到了極小值（例如 1 wei）。
5. 攻擊者利用被操縱的儲備，用 69e18 XPL 交換了 218,083,490e18 USDT。
6. 攻擊者償還了閃電貸並取得了 718,844e18 USDT 的利潤。

結論

此事件是由於瑕疵的燃燒機制所導致，該機制允許任何人直接從資金池中燃燒 XPL 以操縱其儲備。因此，此錯誤設計允許攻擊者執行價格操縱攻擊，竊取資金池中的貴重資產。為了減輕類似問題，項目應防止從資金池中隨意燃燒資產。

5. Holdstation 事件

簡要總結

2026 年 1 月 28 日，Holdstation 報告了一起涉及項目控制錢包被盜取的洩漏事件，總估計損失約 10 萬美元。攻擊者耗盡了多種資產，價值約 6.6 萬美元，包括跨 World Chain、BSC、Berachain 和 zkSync 的 WLD、USD1、BNB 和 BERA，隨後將總結的資產以約 22.41 ETH 的形式匯總到 Ethereum，再以約 0.755 BTC 橋接到 Bitcoin。該事件追蹤到是由於團隊成員設備被破壞，據稱是透過惡意的 IDE 插件或瀏覽器擴展程式，從而導致了錢包被盜。

漏洞分析

此漏洞源於核心開發人員安裝的惡意代碼或瀏覽器擴展程式，屬於營運層面的人為錯誤。具體來說，開發人員安裝了惡意且不可信任的 IDE/瀏覽器擴展程式，導致帳戶被盜用並產生金錢損失。

攻擊分析

相關地址及橋接交易列示如下：

攻擊者地址

• 0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
• 0x9d3a398cc667b97841a2a92ba808ee8dd368a1f2
• bc1qykmc6mllm3s4zpldww764v6vcgtqwshyw02k9c

受害者地址

• (World Chain) 0xa92e09e0a52b7EdEaD75d3125e21bDFB9752C69e
• (World Chain) 0xD768da05e0E6771Ea81b441026CE9355421eF7c9
• (World Chain) 0xA581ED1dEB42E8496E5275468C79D250b91d6a75
• (World Chain) 0x9BD647B2C8Fed689ADd2e7AA8b428d3eD12f75cb
• (BSC) 0x2Edf158DDCe35733d6f7D9D7227610ca0531f0AD
• (BSC) 0xA581ED1dEB42E8496E5275468C79D250b91d6a75
• (Bera Chain) 0xA581ED1dEB42E8496E5275468C79D250b91d6a75
• (Bera Chain) 0x628cEf732301aDF6d62bB2bcDFeBB291750C4D9a
• (zkSync) 0xA581ED1dEB42E8496E5275468C79D250b91d6a75
• (zkSync) 0x8C826F795466E39acbfF1BB4eEeB759609377ba1
• (zkSync) 0x4Cf7baB01b8D3572b3dC08642ebbE2AD1aCF3B99
• (zkSync) 0x2Edf158DDCe35733d6f7D9D7227610ca0531f0AD
• (zkSync) 0x2D2D047c50d7828Aedb6A151bA1717766606Bf33

橋接交易

• World Chain → Ethereum

  • 金額：114,308 WLD → 15.317 ETH
  • 發送者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 接收者：0x54e127b8DBF3BEBf64bB1d62A195A6f60113130d
  • 交易：0x3c9ca5e83151a4ee146a3a5bb0eacc5614ca7b746b39672b36ac665c5f1ac216

• BSC → Ethereum

  • 金額：10.09 BNB → 2.992 ETH
  • 發送者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 接收者：0x54e127b8DBF3BEBf64bB1d62A195A6f60113130d
  • 交易：0x60534c760f5233b02630e7ebda98511807421d6a475f0de12e502b2c1c85f67a

• BSC → Ethereum

  • 金額：6,101.6 USD1 → 2.027 ETH
  • 發送者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 接收者：0x54e127b8DBF3BEBf64bB1d62A195A6f60113130d
  • 交易：0xdddc9df8398727e7ccab44a9d904cfb60bac55ed8cc5c79fdbfc0523e3d84440

• Berachain → Ethereum

  • 金額：7,185 BERA → 1.45 ETH
  • 發送者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 接收者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 交易：0x80aea4b294aef92a5eb45d257a5b1f1125d2d74c8373d0b5ba9fc9b069522bdd

• Ethereum → Ethereum

  • 金額：22.41 ETH → 22.41 ETH
  • 發送者：0x54e127b8dbf3bebf64bb1d62a195a6f60113130d
  • 接收者：0x9D3A398cC667B97841a2A92ba808ee8dD368a1f2
  • 交易：
    • 0xf4ddf8f50a09e845f273e0a6368cece215f565233f5034a4a6c63ca038959c3c
    • 0x5d45d28236a0d76a69dd27e78b05f6baf6378e674734a136b6141dbf80687480

• Ethereum → Bitcoin

  • 金額：22.41 ETH → 0.755 BTC
  • 發送者：0x9d3a398cc667b97841a2a92ba808ee8dd368a1f2
  • 接收者：bc1qykmc6mllm3s4zpldww764v6vcgtqwshyw02k9c
  • 交易：0xafd628dd1e0d508c40d3e3c2895f39902d14d42f9760b25beacdcc25c3419143

結論

此事件的根本原因源於金鑰洩漏。管理金鑰，特別是與核心合約中關鍵角色（如擁有者）相關的金鑰，應受到妥善管理。建議使用多重簽名錢包（Multisig）以避免單點故障並增強系統穩健性。

6. Revert Finance 事件

簡要總結

2026 年 1 月 30 日，Base 上的 Revert Finance 遭到攻擊，導致約 5 萬美元的損失。根本原因是 GaugeManager 合約中的業務邏輯缺陷，允許攻擊者在不償還相應債務的情況下提取抵押品。透過濫用 executeV3UtilsWithOptionalCompound()，攻擊者繞過了預期的債務償還流程並提取了資金。

背景

Revert Finance 是一個為自動做市商 (AMM) 流動性提供者 (LP) 設計的綜合工具平台。它主要提供分析、管理、自動化和借貸功能，以幫助 LP 提升資本效率和風險控制。

在該協議中，用戶可以抵押其 Uniswap v3 部位作為抵押品，從 Revert Finance 的借貸池中借入資產。此外，該協議還允許用戶質押其作為抵押品的部位，透過 stakePosition() 函數賺取額外獎勵。

漏洞分析

此事件根本原因是質押部位（作為抵押品）在解質押（Unstaking）時缺乏償付能力檢查。具體而言，executeV3UtilsWithOptionalCompound() 函數允許用戶透過指示相應指令（即 whatToDo = 1）來解質押部位。然而，該函數在解質押抵押部位時缺乏償付能力檢查。因此，攻擊者可以在不償還未償債務的情況下贖回抵押部位。

攻擊分析

以下分析基於該筆交易：0x10429eaeb479f9149854e4aeb978a35ac02d9688f6e22371712b3878c63a64ab

1. 攻擊者透過閃電貸借入了 10e8 cbBTC 和 10,000,000e6 USDC 以鑄造一個部位（即 NFT）。
2. 攻擊者抵押該 NFT 並借入了 49,000e6 USDC。
3. 攻擊者透過 stakePosition() 函數質押了該抵押 NFT。
4. 攻擊者立即使用 executeV3UtilsWithOptionalCompound() 函數解質押了該抵押 NFT。具體而言，該抵押部位被銷毀，相應的基礎資產被攻擊者搜集。由於解質押過程中缺乏償付能力檢查，該抵押部位在未結清對應債務的情況下即被銷毀。

5. 攻擊者償還了閃電貸並獲得了 49,000e6 USDC 的利潤。

結論

此事件的根本原因是解質押抵押部位時缺乏償付能力檢查。此事件突顯了在借貸協定中進行償付能力檢查的重要性。針對部位的每次使用實施強大的償付能力測量對於確保穩定性和可靠性至關重要。

參考資料

[1] SwapNet & Aperture https://blocksec.com/blog/17m-closed-source-smart-contract-exploit-arbitrary-call-swapnet-aperture

[2] PGNLZ: https://x.com/Phalcon_xyz/status/2016154398817505595

[3] XPlayer: X Player Official https://x.com/XPlayer_Media/status/2016700861578403910

[4] XPlayer: X Blocksec Phalcon https://x.com/Phalcon_xyz/status/2016521384609067103

[5] Holdstation: https://x.com/Phalcon_xyz/status/2016823122373296583

[6] Revert Finance: https://paragraph.com/@revertfinance/post%E2%80%91mortem-aerodrome-lend-vault-incident-on-base?referrer=0x8cadb20A4811f363Dadb863A190708bEd26245F8

關於 BlockSec

BlockSec 是一家全端區塊鏈安全與加密合規服務提供者。我們構建的產品與服務旨在協助客戶執行代碼審計（包括智慧合約、區塊鏈與錢包）、即時攔截攻擊、分析事件、追蹤非法資金，並滿足協議與平台全生命週期的 AML/CFT 合規義務。

BlockSec 已在各大頂級會議發表多篇區塊鏈安全論文，通報了多項 DeFi 應用的零日漏洞，成功攔截多次駭客攻擊並挽救逾 2,000 萬美元資金，為價值數十億美元的加密貨幣保駕護航。

• 官方網站：https://blocksec.com/
• 官方 Twitter：https://twitter.com/BlockSecTeam
• 🔗 BlockSec 審計服務：提交審計需求
• 🔗 Phalcon 安全 APP：預約演示
• 🔗 Phalcon 合規：