三月 DeFi 事件TOP 3
Resolv Protocol: 约 8000 万美元
2026 年 3 月 22 日,Resolv 遭受安全漏洞攻击,导致损失约 8000 万美元*。
根本原因是特权基础设施密钥被盗。攻击者利用盗取的密钥,滥用特权性交换最终确定流程,在三次攻击交易中凭空铸造了超过 8000 万枚 USR,而没有任何等价抵押品。虽然根本原因很简单,但此事件暴露了项目在链上和链下都普遍缺乏安全控制。该项目在铸币批准过程中没有强制执行严格验证,也没有部署监控策略来及时检测和响应违规行为。
值得注意的是,其影响远远超出了未经授权铸造 8000 万枚 USR。由于 Resolv 的资产被广泛用作多个借贷协议的抵押品,因此该资产脱钩引发了广泛的连锁反应。正如 Chaos Labs 所报道的,使用自动化逐利分配的链上策展人缺乏实时风险控制,并继续将新资金投入到已经受损的市场中。最初的局部漏洞攻击迅速升级为跨协议的连锁反应事件,导致借贷协议产生数百万美元的坏账。
*损失估算基于 USR 挂钩价 1 美元。
BitcoinReserveOffering: 约 270 万美元
2026 年 3 月 5 日,以太坊上的 BitcoinReserveOffering 合约遭到利用,损失约 270 万美元。
根本原因是 mint() 函数存在业务逻辑缺陷,该函数在处理完整的 ERC-3525 SFT 存款时执行了两次铸币逻辑。由于 ERC-3525 继承自 ERC-721,安全传输会触发 onERC721Received() 回调。在回调内部,计算了 BRO 代币数量并将其铸造给调用者。然而,在回调返回后,外部的 mint() 继续执行第二次铸币操作,使每次存款发行的 BRO 翻倍。这使得攻击者能够通过重复的销毁-铸造循环在 攻击交易 中膨胀其 BRO 余额。
为防止类似问题发生,协议应确保每个存款操作只发生一次资产会计,并在执行任何可能触发回调的外部调用之前提交状态更新。此外,应添加不变量检查,以保证铸造的数量绝不会超过底层存款的价值。
Venus Protocol: 约 215 万美元
2026 年 3 月 15 日,Venus 在 BNB Chain 上的 THE (Thena) 市场遭受了捐赠攻击和市场操纵。此事件导致协议产生约 215 万美元的坏账,而攻击者则遭受了约 470 万美元的净链上损失。
Venus 是一个 Compound V2 分叉借贷协议。受影响的市场使用 THE 作为其基础资产,而 THE 的链上流动性较浅。捐赠攻击之所以成为可能,是因为市场合约从合约的原始余额中派生 totalCash。这使得攻击者可以直接向市场捐赠 THE,从而增加了 totalCash 并抬高了 exchangeRate。利用这个被抬高的抵押品,攻击者借入了流动性资产,将其兑换成更多的 THE,并推高了 THE 的市场价格。随后,这些获得的 THE 代币被进一步捐赠到市场中,持续放大了攻击的影响。
此事件对借贷协议发出了两方面的警告:会计逻辑和风险配置。协议应实施抗操纵的会计机制,以准确反映资产价值,并且不能被捐赠攻击扭曲。此外,必须仔细配置关键风险参数,如供应上限、借款上限和 LTV(贷款价值比)率,以限制协议的风险敞口。
有关详细分析,请阅读我们的深度分析文章:
https://blocksec.com/blog/venus-thena-donation-attack
以上信息基于截至 2026 年 3 月 31 日 00:00 UTC 的数据。
本次三月安全事件简报到此结束。如需了解更多区块链安全事件和 Web3 安全趋势的深度分析,您可以探索我们的资源。
您可以在我们的 安全事件库 中了解更多信息。
保持知情,保持安全!
