May 1 2024

月度安全审查：2024年4月

安全一览 👀

2024年4月，与DeFi漏洞利用相关的安全事件导致总损失约500万美元。 大多数安全事件是由“未经验证的用户输入”和“访问控制问题”引起的，其中Hedgey Finance和SaitaChain涉及重大事件。

给开发者的建议： 仔细检查关键功能的访问控制和用户输入的内容，特别是对于具有灵活calldata的协议。点击此处查看过往相关事件。

Hedgey Finance事件

4月19日，以太坊上的@hedgeyfinance被利用，导致损失超过180万美元。根本原因是未经用户输入验证。值得注意的是，尽管项目方和一家安全公司声称损失4000万美元，但由于代币缺乏流动性，攻击者的实际利润有限。最终，攻击者可能只套现了几百美元，所以我们不相信这些统计数据。点击此处查看根本原因。

SaitaChain事件

4月24日，SaitaChain的Xbridge遭到攻击，因访问控制问题损失约100万美元。攻击者通过仅以0.15以太坊的价格列出一个代币，就能够转移所有代币。我们立即检测到攻击并通知了项目方。

未知合约 (0x80a0)

4月15日，BSC上的未知合约(0x80a0)遭到攻击，导致损失约60万美元。根本原因是未经用户输入验证。查看警报。

Pike Finance事件

4月26日，Pike Finance在以太坊、Arbitrum和Optimism链上损失约30万美元。根本原因是未经用户输入验证，通过伪造CCTP消息来提取USDC。我们立即检测到此事件，但由于合约不是开源的，我们必须等待项目方确认并采取行动后才能披露攻击交易。

美国首例智能合约利用案

在美国首例涉及智能合约利用的案件中，被告被判犯有挪用超过1200万美元资产的罪名，被判处3年监禁并没收非法所得。

此次利用涉及CremaFinance和NIRVANA FINANCE。仅CremaFinance就被挪用了超过880万美元。经过谈判，CremaFinance同意支付150万美元（45,455 SOL）作为白帽赏金。这是我们使用MetaSleuth对CremaFinance事件进行的资金流分析。

👉 欲了解更多关于攻击交易、根本原因和PoC的各类安全事件，请访问我们的安全事件列表。

博客文章

从安全角度审视EigenLayer和Restaking

本文介绍了EigenLayer的基本理念，并阐述了restaking生态系统中新的安全威胁。

如何在两分钟内赚取一百万：使用MetaSleuth跟踪Solana上的“聪明”资金

在这篇博客中，我们将展示如何使用MetaSleuth跟踪Solana上meme代币 $T I M 的“聪明”资金，该项目被批评为内部人士通过购买$ TIM代币赚取了数百万美元。

理解Inferno Drainer中的利润分成

该博客揭露了造成巨额损失的“Inferno Drainer”网络钓鱼诈骗，并建议用户谨慎交易以避免此类欺诈。

揭秘Web3网络钓鱼诈骗中的“ROP”

在这篇博客中，我们将展示一种新型Web3网络钓鱼，并提供如何避免被钓鱼的建议。

揭秘涉及Drainer的黑客事件

该博客概述了针对Web3用户的Drainer相关黑客事件，重点介绍了黑客使用的方法，旨在提高用户的意识并保护他们免受这些策略的侵害。

产品更新

🥳 Phalcon重大升级！

协议和LP现在可以监控关键变量，包括嵌套结构体、映射和数组——特别是涉及复杂数据结构的。 用户无需编码，即可在10秒内选择变量并配置监控表达式！阅读更多

此次升级使开发人员、安全研究人员和LP能够更好地理解和监控交易及协议状态，快速识别安全威胁或配置错误，以维持协议稳定并保护资金。

🥳 我们改进了Phalcon Explorer的用户界面！

它现在支持全屏模式（Shift+F快捷键），让开发人员和安全研究人员能够更沉浸地使用并专注于分析。快来试试吧！

Full-screen support of BlockSec Phalcon Explorer @Phalcon_xyz https://t.co/w4YFhCxpjT pic.twitter.com/vshmXAW3m8
— BlockSec (@BlockSecTeam) April 12, 2024

合作

Merlin ✖️ BlockSec

BlockSec Phalcon现已全面支持Merlin，顶级BTC L2！🎉 在ETH、BSC和Arbitrum之后，Merlin是Phalcon支持的第四条链！

🛡️ BlockSec Phalcon 全天候主动监控Merlin链上的链上活动，并为Merlin链提供及时警报。现在，Merlin链上的协议团队和投资者还可以订阅Phalcon，获得加密货币黑客监控和阻止能力。

🚀 Phalcon Explorer 也支持Merlin！轻松探索交易追踪、余额变化和资金流。对于Merlin区块链浏览器上一些没有源代码的主流合约，它提供了经过验证的合约访问。

Forta ✖️ BlockSec

Honored to be part of the @FortaNetwork ecosystem! Let's work together to make Web3 safer! 🙌 https://t.co/e87inYgJKN
— BlockSec (@BlockSecTeam) April 25, 2024

关于BlockSec

BlockSec是一家开创性的区块链安全公司，由一群全球知名的安全专家于2021年创立。公司致力于提升新兴Web3世界的安全性和可用性，以促进其大规模采用。为此，BlockSec提供智能合约和EVM链安全审计服务，用于主动开发和阻止威胁的Phalcon平台，用于资金追踪和调查的MetaSleuth平台，以及供Web3构建者高效冲浪加密世界的MetaSuites扩展。

迄今为止，公司已服务于MetaMask、Uniswap Foundation、Compound、Forta和PancakeSwap等300多家尊贵客户，并在两轮融资中获得Matrix Partners、Vitalbridge Capital和Fenbushi Capital等知名投资者的数千万美元投资。

官方网站：https://blocksec.com/

官方Twitter账号：https://twitter.com/BlockSecTeam

Feb 18 2026

Weekly Web3 Security Incident Roundup | Feb 9 – Feb 15, 2026

During the week of February 9 to February 15, 2026, three blockchain security incidents were reported with total losses of ~$657K. All incidents occurred on the BNB Smart Chain and involved flawed business logic in DeFi token contracts. The primary causes included an unchecked balance withdrawal from an intermediary contract that allowed donation-based inflation of a liquidity addition targeted by a sandwich attack, a post-swap deflationary clawback that returned sold tokens to the caller while draining pool reserves to create a repeatable price-manipulation primitive, and a token transfer override that burned tokens directly from a Uniswap V2 pair's balance and force-synced reserves within the same transaction to artificially inflate the token price.

Feb 14 2026

Top 10 "Awesome" Security Incidents in 2025

To help the community learn from what happened, BlockSec selected ten incidents that stood out most this year. These cases were chosen not only for the scale of loss, but also for the distinct techniques involved, the unexpected twists in execution, and the new or underexplored attack surfaces they revealed.

Feb 13 2026

#10 Panoptic Incident: XOR Linearity Breaks the Position Fingerprint Scheme

On August 29, 2025, Panoptic disclosed a Cantina bounty finding and confirmed that, with support from Cantina and Seal911, it executed a rescue operation on August 25 to secure roughly $400K in funds. The issue stemmed from a flaw in Panoptic’s position fingerprint calculation algorithm, which could have enabled incorrect position identification and downstream fund risk.