12月DeFi事件TOP 3
Yearn Finance:约900万美元
12月1日,Yearn Finance在以太坊上的yETH池被攻击,总损失超过900万美元。在外部安全团队的协助下,当天约有239万美元(857.49 pxETH)被成功追回。
漏洞存在于calc_supply()函数中,该函数使用迭代方法计算新的供应量近似值。不安全的数学运算导致了舍入误差和下溢问题。虽然漏洞本身看起来相对简单,但攻击者执行了复杂的步骤来利用它,将资金池的供应量操纵为零,然后提取利润。
十六天后,该协议遭受了第二次攻击,其旧版本(iEarn)中的一个过时合约被攻破。此次事件利用了2023年已识别出的已知配置错误漏洞。第二次事件导致30万美元的损失,使该协议本月的总影响接近1000万美元。
Trust Wallet:约700万美元
圣诞节当天,Trust Wallet的Chrome扩展程序(v2.68)遭受了严重的安全性漏洞,导致用户资金约700万美元被盗。
根本原因是一个恶意后门被注入到代码库中,据推测源自针对开发团队的网络钓鱼攻击。这个后门方法将用户的助记词上传到一个由攻击者控制的服务器,从而危及使用该特定版本扩展程序生成的或导入的任何助记词。随后,攻击者在多个链上提取了用户资金,并将其路由到非KYC交易所。
事件发生后,Trust Wallet团队发布了紧急更新以移除后门,并承诺为受影响用户提供赔偿计划。此次漏洞事件再次警示我们,安全必须贯穿协议的整个生命周期。除了链上代码审计,保护链下基础设施和进行持续监控对于保障用户资产至关重要。
Ribbon Finance:约270万美元
12月12日,Ribbon Finance在以太坊上遭到攻击,损失270万美元。
根本原因在于Oracle合约中setAssetPricer()函数的不当访问控制,允许任何人随意设置资产价格。攻击者首先设置了一个看起来合法的价格预言机以避免被发现,因为协议只在整周的时间间隔内结算期权。在创建并购买了一个看涨期权头寸后,攻击者等到行权日期才升级合约,并用一个恶意合约替换了良性合约,该合约设置了人为抬高的资产价格,然后行权期权以提取利润。
此事件凸显了访问控制在智能合约安全中的关键作用。权限管理中的任何一个疏忽都可能使协议面临重大风险。在部署之前,对所有管理功能进行全面的安全审计对于识别和解决此类漏洞至关重要。
以上信息基于2025年12月30日00:00 UTC的数据。
12月安全事件简报结束
您可以在我们的安全事件库中了解更多信息。
保持知情,保持安全!
