1月 DeFi 事件 Top 3
Truebit Protocol: 约 2600 万美元
2026 年 1 月 8 日,以太坊上的 Truebit Protocol 被攻击,导致约 2600 万美元的损失。此事件凸显了强大的智能合约安全的重要性。
根本原因是 TRU 代币购买定价函数中的整数溢出漏洞。该合约使用 Solidity v0.6.10 编译,该版本默认不强制执行溢出检查。攻击者精心构造了输入参数,导致购买成本计算中的一个大的中间值溢出并回绕成一个更小的数字。这使得攻击者能够以极低的甚至零 ETH 成本购买大量 TRU 代币。
攻击者在 单次攻击交易中 通过多次买卖 TRU 代币进行套利。值得注意的是,该协议有意设计了买卖之间的定价不对称性,以防止即时买卖套利。然而,该易受攻击的合约使用了过时的 Solidity 版本进行部署,且没有溢出保护,暴露了攻击面,最终导致协议储备金流失 8,535 ETH。
使用 BlockSec 的智能合约审计保护您的 dApp
不要让整数溢出之类的漏洞威胁到您的协议。我们的专家团队进行彻底的智能合约审计,在发生代价高昂的攻击之前识别和减轻风险。
Web3 最好的安全审计员
在发布前验证设计、代码和业务逻辑
SwapNet & Aperture: 约 1700 万美元
2026 年 1 月 25 日,SwapNet 和 Aperture Finance 遭受了由共享漏洞引发的攻击,总损失约 1700 万美元。此次攻击严重影响了 Matcha Meta 用户,受损资金超过 1300 万美元。
尽管两份受影响的合约都是闭源的,但通过分析反编译的字节码和链上交易追踪,可以重构攻击路径。根本原因是易受攻击函数内关键用户输入的验证不足,允许攻击者使用恶意参数执行任意调用。在一系列攻击交易中,攻击者构造了 ERC20 transferFrom() 调用,以耗尽之前已授予易受攻击合约代币授权的用户的代币。这凸显了 DeFi 中常见的安全风险。
此次攻击中涉及的两个协议都没有开源其代码,使得社区难以通过公开审查来识别安全漏洞。同时,基于授权的攻击方式给行业敲响了警钟:用户必须谨慎管理其代币授权,而协议应实施保护机制,例如带有时间锁或金额限制的授权,以从根本上减轻此类攻击的风险。
Phalcon Security: 实时威胁监控和攻击预防
在 SwapNet 和 Aperture 等复杂攻击面前保持领先。Phalcon Security 提供可疑链上活动的实时监控和警报,帮助您检测和预防攻击。
Saga: 约 700 万美元
2026 年 1 月 21 日,Saga 生态系统中的 SagaEVM 被利用,导致未经授权的代币铸造和约 700 万美元的损失。此事件凸显了跨所有层级的强大区块链安全的重要性。
尽管根本原因尚未完全披露,但 官方消息源 已确认,Ethermint 和 CosmosEVM 代码中存在的共享漏洞(SagaEVM 继承了该漏洞)导致了此次攻击。攻击者部署了恶意智能合约来执行攻击,铸造了大量 Saga Dollars。在成功攻击后,几乎所有被盗资金都通过跨链桥迅速转移 到了以太坊网络。
此事件凸显了区块链生态系统中代码继承的风险。当基础代码库存在漏洞时,所有继承该代码的项目都可能面临相同的威胁,从而产生连锁性的安全漏洞。对这类生态系统进行全面的基础设施审计至关重要。
以上信息基于 2026 年 1 月 31 日 UTC 时间 00:00 的数据。
1 月份安全事件简报至此结束。如需对区块链安全事件和 Web3 安全趋势进行更深入的分析,您可以浏览我们的资源。
您可以在我们的 安全事件库 中了解更多信息。
保持了解,保持安全!
