三月 DeFi 事件排行榜 Top 3
Resolv Protocol:约 8000 万美元
2026 年 3 月 22 日,Resolv 遭受安全漏洞攻击,造成约 8000 万美元*的损失。
根本原因是特权基础设施密钥被盗。攻击者利用窃取的密钥,滥用了特权的SwapChain最终确定流程,在三次攻击性交易中凭空铸造了超过 8000 万个 USR,而没有任何等值的抵押品。尽管根本原因很简单,但该事件暴露了项目在链上和链下安全控制方面的普遍缺失。该项目在铸币批准期间未强制执行严格验证,也没有部署监控策略来及时检测和响应漏洞。
值得注意的是,其影响远远超出了未经授权铸造 8000 万个 USR 的范畴。由于 Resolv 的资产在多个借贷协议中被广泛用作抵押品,脱钩引发了更广泛的连锁反应。据 Chaos Labs 报道,使用自动逐利配置的链上策展人缺乏实时风险控制,继续将新资金投入已受损的市场。最初的局部性漏洞攻击迅速升级为跨协议的连锁事件,导致借贷协议产生数百万美元的坏账。
*损失估算基于 USR 1 美元的锚定价值。
BitcoinReserveOffering:约 270 万美元
2026 年 3 月 5 日,以太坊上的 BitcoinReserveOffering 合约被利用,造成约 270 万美元的损失。
根本原因是 mint() 函数中存在的业务逻辑缺陷,该缺陷在处理完整的 ERC-3525 SFT 存款时执行了两次铸币逻辑。由于 ERC-3525 继承自 ERC-721,安全转账会触发 onERC721Received() 回调。在回调中,会计算 BRO 代币数量并铸造给调用者。然而,在回调返回后,外部的 mint() 继续执行,并进行了第二次铸币操作,将每次存款发行的 BRO 翻倍。这使得攻击者可以通过重复的销毁-铸造循环,在一个攻击性交易中膨胀其 BRO 余额。
为防止类似问题发生,协议应确保每个存款操作只执行一次资产会计,并在任何可能触发回调的外部调用之前提交状态更新。此外,应添加不变量检查,以确保铸造的数量绝不超过底层存款价值。
Venus Protocol:约 215 万美元
2026 年 3 月 15 日,Venus 在 BNB Chain 上的 THE (Thena) 市场遭受了捐赠攻击和市场操纵。此次事件导致协议产生约 215 万美元的坏账,而攻击者则遭受了约 470 万美元的净链上损失。
Venus 是一个 Compound V2 分叉的借贷协议。受影响的市场使用 THE 作为其底层资产,而 THE 的链上流动性较低。该捐赠攻击之所以成为可能,是因为市场合约从合约的原始余额中派生出 totalCash。这使得攻击者能够直接向市场捐赠 THE,从而增加了 totalCash 并推高了 exchangeRate。利用被夸大的抵押品,攻击者借入了流动性资产,将其兑换成更多的 THE,并推高了 THE 的市场价格。这些获得的 THE 代币被进一步捐赠到市场,持续放大了攻击的影响。
此次事件在两个方面为借贷协议敲响了警钟:会计逻辑和风险配置。协议应实施抗操纵的会计机制,以准确反映资产价值,且不能被捐赠攻击所扭曲。此外,必须仔细配置关键风险参数,如供应上限、借款上限和 LTV(贷款价值比)比例,以限制协议的敞口。
如需详细分析,请阅读我们的深度文章:
https://blocksec.com/blog/venus-thena-donation-attack
*以上信息基于 2026 年 3 月 31 日 00:00 UTC 的数据。
本期安全事件简报到此结束。如需更深入地分析区块链安全事件和 Web3 安全趋势,您可以查阅我们的资源。
您可以在我们的安全事件库中了解更多信息。
保持知情,保持安全!
