在過去的一週(2026/05/11 - 2026/05/17)中,BlockSec 在多個區塊鏈生態系統中發現了多起攻擊事件。下表列出了 3 起重大事件,總估計損失約為 472 萬美元。
| 日期 | 事件 | 類型 | 估計損失 |
|---|---|---|---|
| 2026/05/12 | Transit Finance 事件 | 任意呼叫 (Arbitrary Call) | 約 188 萬美元 |
| 2026/05/12 | TAC 事件 | 驗證不當 (Improper Validation) | 約 280 萬美元 |
| 2026/05/13 | Boost Hook 事件 | 業務邏輯缺陷 (Flawed Business Logic) | 約 46.75K 美元 |
以下選取了三起事件進行深入分析:
- Transit Finance:一個已發布(據報導自 2022 年起已棄用)的舊版跨鏈橋合約,遭到利用任意調用數據(calldata)轉發的攻擊,導致那些從未撤銷
USDT授權的用戶資產被耗盡。 - TAC:本週損失最大(約 280 萬美元)的事件,原因是其 TON 端代幣(Jetton)存款流程中缺乏標準錢包驗證,導致偽造的存款通知能夠觸發 TAC EVM 上的跨鏈鑄造。
- Boost Hook:一個基於 Uniswap V4 Hook 的永續合約協議,因現貨價格操縱而遭到攻擊,該事件證明了將
slot0價格作為槓桿部位入場價格所存在的風險。
Web3 最佳安全審計服務
在發布前驗證設計、程式碼和業務邏輯
本週焦點:Transit Finance
此事件之所以受到關注,是因為它顯示了一種長期存在的風險模式:已棄用的智慧合約中殘留的代幣授權。即使協議認為某個合約已過時,那些從未撤銷授權的用戶仍長期處於暴露狀態,使得舊基礎設施成為潛在的攻擊面。
2026 年 5 月 12 日,跨鏈交換與橋接聚合協議 Transit Finance 在 TRON 上遭到攻擊,損失約 188 萬美元 [1]。攻擊者利用舊版 TransitMixSwapBridge 合約中允許任意調用數據執行的漏洞,發起並調用了 USDT.transferFrom(),針對那些先前曾對 Transit 的授權合約授予無限制 USDT 授權的用戶進行了資產盜取。儘管該受影響合約據稱自 2022 年起已棄用,但這些授權關係依然有效且可被利用。
背景
Transit Finance 是一個跨鏈交換與橋接聚合協議,使用戶能夠在包括 TRON 在內的多個區塊鏈上進行資產交換和轉移。該協議在 TRON 上的部署歷史中包含一個 TransitMixSwapBridge 合約,透過內部代理和授權管道來路由交換與橋接執行。
漏洞分析
有漏洞的 TransitMixSwapBridge 合約 (TUfPjK...Ukbc4) 暴露了任意調用數據轉發功能:攻擊者控制的 calldata 可以透過 Transit 的內部執行鏈進行傳播,且缺乏有效的驗證。這使得攻擊者可以構造有效負載,進而透過 Transit 的授權合約 (TransitApproveGovernanceTron) 觸發 USDT.transferFrom() 調用,而該授權合約仍保留著用戶先前授予的無限制配額。
其核心缺陷在於執行路徑對轉發調用的目標或 calldata 沒有任何限制,允許在授權合約的權限下執行任意外部調用。
攻擊分析
以下分析基於交易 3a981b83...ce918ac2。
-
步驟 1:攻擊者透過構造的 calldata 調用了
TransitMixSwapBridge合約。該 calldata 透過 Transit 的代理和橋接執行管道轉發至授權合約。 -
步驟 2:Transit 的授權合約 (
TransitApproveGovernanceTron) 執行了攻擊者控制的USDT.transferFrom()調用。由於用戶先前曾授予此合約無限制的USDT配額,因此調用成功。 -
步驟 3:
USDT從受害者錢包直接轉移到攻擊者控制的地址,總額約為 188 萬美元。
結論
此事件是由舊版 TransitMixSwapBridge 合約中的任意 calldata 執行漏洞,結合長期存在的無限制代幣授權所導致。儘管該合約據稱自 2022 年起已棄用,但授權關係依然處於活躍且可被利用的狀態。主要教訓為:(1) 已棄用的合約應徹底停止運作,並撤銷其持有的任何授權權限;(2) 任意 calldata 轉發路徑必須同時驗證目標地址和函數選擇器;(3) 用戶應定期審核並撤銷不必要的代幣授權,特別是針對已棄用的協議。
參考文獻
本週更多事件
TAC
2026 年 5 月 12 日,將 TON 擴展至 EVM 相容執行的橋接協議 TAC 遭到攻擊,損失約 280 萬美元 [1]。根本原因是 TON 端代幣(Jetton)存款流程中缺乏標準錢包驗證:TAC JettonProxy 接受了來自非標準 Jetton 錢包的 JettonNotify,且未驗證發送者是否匹配由官方 Jetton Master 推導出的標準錢包地址。這使得攻擊者能夠提交虛假的存款通知,進而觸發 TAC EVM 上的跨鏈消息並鑄造映射資產。
背景
TON 本身不與 EVM 相容,這限制了對以太坊式 DeFi 應用的直接存取。TAC 提供了一個橋接器,允許 TON 上產生的資產和消息在 EVM 相容環境中處理。在此設計中,TON 端的代幣存款會轉換為跨鏈消息,並在 TAC EVM 上鑄造為映射資產。
漏洞分析
有漏洞的 TAC JettonProxy 合約部署在 EQAChA...xMdw。
漏洞在於 TON 端代幣進入路徑中缺少對標準錢包的驗證。TAC JettonProxy 接受 JettonNotify 消息時,未驗證 msg.sender 是否為官方 Jetton Master 為代幣持有者推導出的標準 Jetton 錢包。因此,非標準錢包可以發送虛假的 JettonNotify,將其視為合法存款處理,並觸發有效的 TVM 至 EVM 跨鏈消息。
攻擊分析
以下分析基於交易 549807fd...3757e1 和 0x0942a5...0dad224d。
- 步驟 1:攻擊者部署了一個類似錢包的合約,並使用它向
TAC JettonProxy發送JettonNotify。該有效負載聲稱進行了代幣轉移,並包含一個帶有跨鏈執行數據的forward_payload。
- 步驟 2:
TAC JettonProxy接受了通知並發出下游跨鏈消息給 TAC CCL。儘管發送者錢包並非由官方USD₮(TON 上的 USDT) Master 推導出的標準錢包,該通知仍被視為合法的存款流程處理。
- 步驟 3:TAC EVM 處理了橋接消息並鑄造了映射資產,其中包括約 217 萬枚映射後的
USD₮,完成了攻擊路徑。
結論
此事件是由 TAC 的 TON 端 Jetton 存款流程中缺少標準錢包驗證所導致。非官方 Jetton Master 推導出的錢包成功提交了虛假的 JettonNotify,橋接器將其視為合法存款並轉換為 TAC EVM 上的有效跨鏈鑄幣。穩健的修復措施應確保 TON 端橋接器會驗證發送者地址是否與由官方 Jetton Master 為目標用戶及資產所推導出的標準錢包一致。
參考文獻
Boost Hook
2026 年 5 月 13 日,構建於 Uniswap V4 池子與 Hook 之上的永續合約協議 Boost 在以太坊上遭到攻擊,損失約 4.675 萬美元。根本原因是現貨價格操縱:BoostHook 將 V4 池的 slot0 sqrtPriceX96(即現貨價格)直接作為開立槓桿部位的入場價格,這允許攻擊者在單筆交易中推高價格,並強迫協議使用自身的 ETH儲備以被操縱後的價格買入 PERP 代幣。
背景
Boost 是一個構建在單一 Uniswap V4 ETH/PERP 池子上的永續協議,並帶有一個自定義 Hook (BoostHook)。PERP 是一種固定供應量的 ERC-20 代幣(總供應量 100 萬枚),Boost 作為該池的唯一流動性提供者,將所有 PERP 作為高於初始價格的集中流動性(Concentrated Liquidity)區間進行配置。
槓桿作為針對此池的市場交易來實施。當用戶呼叫 openLong() 時,BoostHook 會從其自身的上方價格區間中提取額外 ETH 作為借貸金額,以補充用戶的抵押品,然後將整個倉位規模兌換成 PERP。PERP 保存在 BoostHook 的餘額中,用戶收到內部 Position 記錄。結束部位或清算時會反向執行兌換,償還債務並返還剩餘部分。
漏洞分析
有漏洞的 BoostHook 合約部署在 0x3db1...d7eacc。
根本原因是 BoostHook 在開立部位時直接讀取池子的 slot0 sqrtPriceX96 作為入場價格。由於 slot0 反映了池子的瞬間狀態,因此可以在單筆交易中透過大規模交換進行操作。沒有強制檢查確保入場價格在類似於 TWAP(時間加權平均價格)的抗操縱範圍內。
攻擊分析
以下分析基於交易 0xb45cc4...cebd3811。
-
步驟 1:攻擊者從 Morpho Blue 獲取了
WETH閃電貸並將其解除包裝為ETH,為操縱過程提供了初始資本。 -
步驟 2:攻擊者透過 Sat1SwapRouter 將大量
ETH兌換成PERP,推高了池子的現貨價格。隨後,攻擊者持有了一個先前在低點購入的大量PERP部位。
- 步驟 3:攻擊者多次呼叫
openLong()並使用 5 倍槓桿。每次呼叫時,攻擊者存入少量抵押品(如 2 個ETH),BoostHook會從其自身區間借入 4 倍金額,然後以被操縱後的現貨價格將全部倉位規模買入PERP。後續的開倉操作進一步推高了現貨價格,大部分買盤壓力來自協議自身的ETH。
- 步驟 4:攻擊者將步驟 2 中獲得的
PERP兌換回ETH。由於現貨價格在最初的拉升和步驟 3 協議資金開倉的推動下大幅上漲,賣出價格明顯高於入場價格。低買高賣的價差即為利潤所在。
-
步驟 5:在賣出的
afterSwap回調中,_scanAndLiquidate被觸發,並開始將步驟 3 中的部位作為壞帳清算(扣除協議資產)。這對攻擊者的利潤沒有影響,因為步驟 4 的分紅已經結算。 -
步驟 6:攻擊者將累積的
ETH包裝回WETH,償還閃電貸,剩下的ETH即為獲利。
結論
此事件是由現貨價格操縱所導致:BoostHook 直接使用 V4 池的現貨價格作為槓桿開倉的入場價格,這使得攻擊者可以在單筆交易內推高價格,強迫協議用其自有 ETH 高位震盪買入 PERP。修正方案應將 _swapEthForToken 限制在具有抗操縱性的參考價格(如 TWAP)範圍內,而非信任瞬時的 slot0 數值。
關於 BlockSec
BlockSec 是一家全堆疊區塊鏈安全與加密合規服務提供商。我們構建各類產品與服務,協助客戶在協議與平台的生命週期中執行程式碼審計(包括智慧合約、區塊鏈與錢包)、即時攔截攻擊、分析事件、追蹤非法資金並履行 AML/CFT 合規義務。
BlockSec 已在各大頂級會議上發表多篇區塊鏈安全論文,通報了多項 DeFi 應用的零日漏洞,成功阻斷多次駭客攻擊並挽救了超過 2000 萬美元的資產,保護了數十億美元的加密貨幣。
-
官方 Twitter:https://twitter.com/BlockSecTeam
-
🔗 BlockSec 審計服務 : 提交請求
