一月 DeFi 事件排行 Top 3
Truebit Protocol:约 2600 万美元
2026 年 1 月 8 日,以太坊上的 Truebit Protocol 被攻击,导致约 2600 万美元的损失。此次事件凸显了健全的智能合约安全性的关键重要性。
根本原因是 TRU 代币购买定价函数中存在整数溢出漏洞。该合约使用 Solidity v0.6.10 编译,该版本默认不强制执行溢出检查。攻击者构造了输入参数,导致购买成本计算中的一个大中间值溢出并回绕成一个非常小的数字。这使得攻击者能够以极低的甚至零 ETH 成本购买大量 TRU 代币。
攻击者在 单个攻击交易中 执行了多轮套利,反复执行 TRU 代币的买卖操作。值得注意的是,该协议故意设计了买卖之间的定价不对称性,以防止即时买卖套利。然而,易受攻击的合约是使用未经溢出保护的过时 Solidity 版本部署的,暴露了攻击面,并最终导致从协议储备中提取了 8,535 ETH。
通过 BlockSec 的智能合约审计保护您的 dApp
不要让整数溢出等漏洞威胁您的协议。我们的专家团队进行彻底的智能合约审计,在漏洞导致高昂损失之前识别和缓解风险。
Web3 最佳安全审计公司
在上线前验证设计、代码和业务逻辑
SwapNet & Aperture:约 1700 万美元
2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭受了攻击,原因是一个共享漏洞,总损失约 1700 万美元。此次攻击严重影响了 Matcha Meta 用户,受影响资金超过 1300 万美元。
尽管两个受影响的合约都是闭源的,但可以通过分析反编译的字节码和链上交易跟踪来重建攻击路径。根本原因是易受攻击函数中关键用户输入的验证不足,允许攻击者使用恶意参数执行任意调用。在一系列攻击交易中,攻击者构造了 ERC20 transferFrom() 调用,从先前授予了代币授权给易受攻击合约的用户那里提取代币。这凸显了一个常见的 DeFi 安全风险。
此次攻击涉及的两个协议都没有开源其代码,使得社区难以通过公开审查来识别安全漏洞。同时,基于授权的攻击方法敲响了行业的警钟:用户必须谨慎管理其代币授权,而协议应实施保护机制,例如时间锁定或有上限的授权,以从根本上缓解此类攻击的风险。
Phalcon Security:实时威胁监控和攻击防护
领先于 SwapNet 和 Aperture 等复杂攻击。Phalcon Security 提供实时监控和警报,针对可疑链上活动,帮助您检测和防止攻击。
Saga:约 700 万美元
2026 年 1 月 21 日,Saga 生态系统中的 SagaEVM 被攻击,导致未经授权的代币铸造和约 700 万美元的损失。此次事件凸显了所有层面上健全的区块链安全性的重要性。
尽管根本原因尚未完全披露,但 官方消息源 已确认,Ethermint 和 CosmosEVM 代码中存在的共享漏洞——SagaEVM 继承了该漏洞——导致了此次攻击。攻击者部署了恶意智能合约来执行攻击,铸造了大量的 Saga Dollars。在成功攻击后,几乎所有被盗资金都被迅速转移 到以太坊网络,通过跨链桥。
此次事件凸显了区块链生态系统中代码继承的风险。当基础代码库中存在漏洞时,所有继承该代码的项目都可能面临相同的威胁,从而产生级联的安全漏洞。对这些生态系统进行全面的基础设施审计至关重要。
以上信息基于截至 2026 年 1 月 31 日 00:00 UTC 的数据。
本月安全事件简报到此结束。如需更深入地分析区块链安全事件和 Web3 安全趋势,您可以探索我们的资源。
您可以在我们的 安全事件库 中了解更多信息。
保持了解,保持安全!
