一月 DeFi 事件 Top 3
Truebit Protocol:约 2600 万美元
2026 年 1 月 8 日,以太坊上的 Truebit Protocol 被攻击,导致约 2600 万美元的损失。
根本原因是 TRU 代币购买定价函数中存在整数溢出漏洞。该合约使用 Solidity v0.6.10 编译,该版本默认不强制执行溢出检查。攻击者构造了输入参数,导致在购买成本计算中出现一个大的中间值溢出并回绕成一个非常小的数字。这使得攻击者能够以极低的甚至零 ETH 成本购买大量 TRU 代币。
攻击者在 单个攻击交易中 执行了多轮套利,反复在 TRU 代币上执行买卖操作。值得注意的是,该协议有意设计了买卖之间的定价不对称,以防止即时买卖套利。然而,易受攻击的合约使用过时的 Solidity 版本部署,缺乏溢出保护,暴露了攻击面,并最终导致协议储备金中的 8,535 ETH 被耗尽。
SwapNet & Aperture:约 1700 万美元
2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭受了攻击,源于一个共享的漏洞,导致总计约 1700 万美元的损失。此次攻击严重影响了 Matcha Meta 用户,受影响的资金超过 1300 万美元。
尽管受影响的两个合约都是闭源的,但可以通过分析反编译的字节码以及链上交易记录来重建攻击路径。根本原因是易受攻击函数中关键用户输入的验证不足,允许攻击者使用恶意参数执行任意调用。在一系列攻击交易中,攻击者构造了 ERC20 transferFrom() 调用,耗尽了先前授予易受攻击合约代币授权的用户手中的代币。
此次攻击涉及的两个协议都没有开源其代码,使得社区难以通过公开审查来识别安全漏洞。同时,基于授权的攻击方法给行业敲响了警钟:用户必须谨慎管理其代币授权,而协议应实施保护机制,例如时间锁定或上限授权,以从根本上减轻此类攻击的风险。
Saga:约 700 万美元
2026 年 1 月 21 日,Saga 生态系统中的 SagaEVM 被攻击,导致未经授权的代币铸造,损失约 700 万美元。
虽然根本原因尚未完全披露,但 官方消息来源 已确认,Ethermint 和 CosmosEVM 代码中存在的共享漏洞(SagaEVM 继承了该漏洞)导致了此次攻击。攻击者部署了恶意智能合约来执行攻击,铸造了大量 Saga Dollars。在成功攻击后,几乎所有被盗资金均已通过跨链桥迅速转移 到以太坊网络。
此次事件凸显了区块链生态系统中代码继承的风险。当基础代码库中存在漏洞时,所有继承该代码的项目都可能面临相同的威胁,从而产生连锁的安全漏洞。
以上信息基于截至 2026 年 1 月 31 日 UTC 时间 00:00 的数据。
一月安全事件简报到此结束。
您可以在我们的 安全事件库 中了解更多信息。
保持知情,保持安全!
