二月 DeFi 事件 Top 3
YieldBlox DAO:约 1000 万美元
2026 年 2 月 22 日,YieldBlox DAO 在 Stellar 的 Blend V2 上运营的借贷池遭到利用,导致损失超过 1000 万美元。
根本原因是对可操纵的价格源的依赖。具体来说,SDEX 上的 USTRY/USDC 市场的流动性极低。攻击者清除了合法订单并插入了异常订单,将 USTRY 的价格从约 1.06 美元人为地抬高到 107 美元。Reflector 随后用这个被操纵的值更新了其价格馈送,导致借贷池严重高估 USTRY 抵押品。利用这种膨胀的抵押品估值,攻击者提供了最少的 USTRY 抵押品,并通过两次交易借入了约 100 万 USDC 和 6120 万 XLM。然后,被盗资产被桥接到 Base、BSC 和 Ethereum。
重要的是,此事件并非由合同漏洞引起,而是由池运营商级别的配置失败引起。此案例强调了对于依赖外部预言机的借贷协议而言,稳健、抗操纵的价格馈送至关重要。协议运营商在选择和持续监控预言机源时必须极其谨慎。
IoTex:约 440 万美元
2026 年 2 月 21 日,IoTeX 的 ioTube 桥遭受了安全漏洞,导致损失超过 440 万美元。
根本原因是 Ethereum 端验证器合同所有者的私钥泄露。由于桥接架构授予单个所有者不受限制的管理权限,没有多重签名或时间锁保护,攻击者能够调用验证器合同的 upgrade() 函数,将 TokenSafe 和 MintPool 合同的所有权转移到一个由攻击者控制的地址。然后,攻击者通过 MintPool 铸造了超过 4.1 亿个 CIOTX,并从 TokenSafe 中提取了约 440 万美元的桥接储备资产(USDC、USDT、WBTC、WETH、BUSD 等)。根据项目团队的说法,截至 2 月 26 日,约有 3.55 亿个铸造的 CIOTX 代币已被永久锁定或冻结。
此事件是典型的单点故障密钥泄露,凸显了跨链桥接架构中中心化管理控制的严峻风险。项目团队应避免将关键权限集中在一个账户中,特别是对于合同升级、资产托管和代币铸造等高风险操作。
CrossCurve:约 280 万美元
2026 年 2 月 2 日,CrossCurve 桥接协议在包括 Ethereum、Arbitrum 和 Optimism 在内的多个链上遭到利用。此次事件导致损失约 280 万美元。
根本原因是 ReceiverAxelar 合同公开了一个无需许可的 expressExecute() 函数,该函数绕过了 Axelar Gateway 的标准验证过程。根据 Axelar 的预期安全模型,跨链消息必须首先由 Gateway 批准,然后通过 validateContractCall() 在目标链上进行验证。然而,expressExecute() 路径完全跳过了此过程,仅依赖于使用 sourceChain 和 sourceAddress 参数的白名单检查。然而,这两个参数都是用户指定的,攻击者可以进行欺骗。通过使用白名单的对等地址构造一个伪造的消息,攻击者绕过了所有安全检查,并触发了 Eywa CLP Portal 上的 unlock() 函数,释放了 999,787,453 个 EYWA 代币。
此事件表明,快速通道执行路径必须强制执行与标准执行流相同的安全假设、验证逻辑和访问控制保证。任何削弱规范信任模型的优化实际上都创建了一个安全绕过。
以上信息基于 2026 年 2 月 28 日 UTC 时间 00:00 的数据。
二月安全事件简报结束。
您可以在我们的安全事件库中了解更多信息。
保持知情,保持安全!
