12 月份排名前 3 的 DeFi 事件
Yearn Finance:约 900 万美元
12 月 1 日,Yearn Finance 在以太坊上的 yETH 池遭到攻击,总损失超过 900 万美元。在外部安全团队的协助下,当日成功挽回约 239 万美元(857.49 pxETH)。
漏洞存在于 _calc_supply() 函数中,该函数使用迭代方法计算新的供应量近似值。不安全的数学运算导致了舍入错误和下溢问题。尽管漏洞本身相对直接,但攻击者采取了复杂的步骤来利用它,在提取利润之前将池子的供应量操纵为零。
十六天后,该协议遭受了第二次入侵,其遗留版本(iEarn)的过时合约遭到泄露。此事件利用了2023 年已识别的已知错误配置漏洞。第二次事件导致损失 30 万美元,使该协议本月总影响接近 1000 万美元。
Trust Wallet:约 700 万美元
圣诞节当天,Trust Wallet 的 Chrome 扩展程序(v2.68)遭遇了严重的安全漏洞,导致用户资金约 700 万美元被盗。
根本原因是代码库中植入了一个恶意后门,据怀疑,该后门源于针对开发团队的网络钓鱼攻击。该后门方法会将用户的助记词上传到攻击者控制的服务器,从而泄露使用该特定版本扩展程序生成或导入的任何助记词。攻击者随后在多个链上耗尽了用户资金,并将它们导向了非 KYC 的交易所。
事件发生后,Trust Wallet 团队发布了紧急更新以移除后门,并承诺为受影响的用户提供补偿计划。此次泄露事件警示我们,安全必须贯穿整个协议生命周期。除了链上代码审计,保护链下基础设施和持续监控对于保护用户资产至关重要。
Ribbon Finance:约 270 万美元
12 月 12 日,Ribbon Finance 在以太坊上遭到攻击,损失 270 万美元。
根本原因是 Oracle 合约中 setAssetPricer() 函数的访问控制不当,允许任何人任意设置资产价格。攻击者通过首先设置一个看起来合法的价格预言机来逃避检测,因为协议只在整周的间隔内结算期权。在创建并购买了一个看涨期权头寸后,攻击者等到行权日期升级合约,并将良性预言机替换为一个恶意的,该预言机设置了一个人为膨胀的资产价格,然后行权期权以提取利润。
此事件突显了访问控制仍然是智能合约安全的关键方面。权限管理中的一个疏忽就可能使协议面临重大风险。在部署前进行全面的安全审计,审查所有管理功能,对于识别和解决此类漏洞至关重要。
以上信息基于 2025 年 12 月 30 日 UTC 时间 00:00 的数据。
12 月安全事件简报结束
您可以在我们的安全事件库中了解更多信息。
保持知情,保持安全!
