Back to Blog

新闻通讯 - 2025年12月

Code Auditing
December 31, 2025
2 min read

12 月份排名前 3 的 DeFi 事件

Yearn Finance:约 900 万美元

12 月 1 日,Yearn Finance 在以太坊上的 yETH 池遭到攻击,总损失超过 900 万美元。在外部安全团队的协助下,当日成功挽回约 239 万美元(857.49 pxETH)。

漏洞存在于 _calc_supply() 函数中,该函数使用迭代方法计算新的供应量近似值。不安全的数学运算导致了舍入错误和下溢问题。尽管漏洞本身相对直接,但攻击者采取了复杂的步骤来利用它,在提取利润之前将池子的供应量操纵为零。

十六天后,该协议遭受了第二次入侵,其遗留版本(iEarn)的过时合约遭到泄露。此事件利用了2023 年已识别的已知错误配置漏洞。第二次事件导致损失 30 万美元,使该协议本月总影响接近 1000 万美元。

阅读官方事后分析以获取详细的攻击分析

Trust Wallet:约 700 万美元

圣诞节当天,Trust Wallet 的 Chrome 扩展程序(v2.68)遭遇了严重的安全漏洞,导致用户资金约 700 万美元被盗。

根本原因是代码库中植入了一个恶意后门,据怀疑,该后门源于针对开发团队的网络钓鱼攻击。该后门方法会将用户的助记词上传到攻击者控制的服务器,从而泄露使用该特定版本扩展程序生成或导入的任何助记词。攻击者随后在多个链上耗尽了用户资金,并将它们导向了非 KYC 的交易所。

事件发生后,Trust Wallet 团队发布了紧急更新以移除后门,并承诺为受影响的用户提供补偿计划。此次泄露事件警示我们,安全必须贯穿整个协议生命周期。除了链上代码审计,保护链下基础设施和持续监控对于保护用户资产至关重要。

Ribbon Finance:约 270 万美元

12 月 12 日,Ribbon Finance 在以太坊上遭到攻击,损失 270 万美元。

根本原因是 Oracle 合约中 setAssetPricer() 函数的访问控制不当,允许任何人任意设置资产价格。攻击者通过首先设置一个看起来合法的价格预言机来逃避检测,因为协议只在整周的间隔内结算期权。在创建并购买了一个看涨期权头寸后,攻击者等到行权日期升级合约,并将良性预言机替换为一个恶意的,该预言机设置了一个人为膨胀的资产价格,然后行权期权以提取利润。

此事件突显了访问控制仍然是智能合约安全的关键方面。权限管理中的一个疏忽就可能使协议面临重大风险。在部署前进行全面的安全审计,审查所有管理功能,对于识别和解决此类漏洞至关重要。

以上信息基于 2025 年 12 月 30 日 UTC 时间 00:00 的数据。

12 月安全事件简报结束

您可以在我们的安全事件库中了解更多信息。

保持知情,保持安全!

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit