Web3 安全事件周报 | 2026年3月2日 - 3月8日

在过去的一周（2026/03/02 - 2026/03/08），BlockSec 检测并分析了七起攻击事件，估计总损失约为 325 万美元。下表总结了这些事件，详细分析将在接下来的小节中提供。

1. BUBU2 事件

简要摘要

2026 年 3 月 1 日，BNB Chain 上的 BUBU2 代币被利用，导致约 19.7K 美元的损失。根本原因是代币设计缺陷：合约在转账时直接从 AMM 对的储备中扣除代币，嵌入了一个时间累积的通缩机制。攻击前，合约所有者将触发间隔缩短到一个不合理的小值，导致数百次销毁轮次在一个调用中累积并执行。攻击者利用闪贷触发了该机制，导致交易对储备枯竭，代币价格飙升，然后以扭曲的价格反向兑换获利。

背景

BUBU2 是部署在 BNB Chain 上的通缩 ERC-20 代币协议。该协议嵌入了一个由 burnAndMintSwitch 控制的周期性通缩引擎：一旦由所有者通过 setBurnAndMintSwitch(true) 启用，任何触发 _update() 钩子的豁免转账都会调用 _triggerDailyBurnAndMint()，该函数根据自上次触发以来经过的 TRIGGER_INTERVAL 周期数，按比例销毁交易对 BUBU2 余额中的代币，并相应地同步储备。

漏洞分析

根本原因在于 BUBU2 代币合约 (0x3fF3...ee52) 的设计缺陷。合约在其 _update() 钩子中嵌入了一个周期性通缩机制：当触发时，_triggerDailyBurnAndMint() 会计算自上次执行以来经过的 TRIGGER_INTERVAL 周期数，并直接从交易对 ([0x7745...cd2f]) 中销毁相应比例的 BUBU2 代币，然后进行 sync() 更新储备。关键是，所有者可以在没有任何锁定期或最小边界保护的情况下重新配置 TRIGGER_INTERVAL。

攻击发生前，所有者调用了 setBurnAndMintSwitch(true)，然后调用 setTriggerInterval(120)，将间隔从默认的 6 小时压缩到 120 秒。由于 lastTriggerTime 仍然停留在数小时前，下一次触发计算了数百个累积的周期，并且销毁金额与周期成线性关系。这导致一次转账耗尽了交易对中大量的 BUBU2，使其储备枯竭，代币价格上涨约 11 倍。

攻击分析

以下分析基于交易 0x1bc0...141c、0x191c...1ee4、0xd6e5...51a6。

• 第一步：代币所有者首先通过 setBurnAndMintSwitch(true) 启用了周期性通缩机制，然后通过 setTriggerInterval(120) 将触发间隔从默认的 6 小时缩短到 120 秒。随后，攻击者通过闪贷借入 18 WBNB，并将其兑换成约 18,715,856 BUBU2。

• 第二步：攻击者发起一次小额转账，触发了 _triggerDailyBurnAndMint()。在 sync() 执行后，交易对的 BUBU2 余额减少了约 1,025,988,664e18 个代币，储备中仅剩 6,493,352e18 BUBU2，这导致 BUBU2 的价格上涨了约 200 倍。

• 第三步：攻击者以第一步获得 BUBU2 的价格卖回给交易池，获得了约 50 WBNB。偿还闪贷后，净利润约为 32 WBNB。

结论

BUBU2 的漏洞源于代币合约中严重的设计缺陷。所有者配置了不合理小的 TRIGGER_INTERVAL，导致累积的时间转化为数百个周期，并在一次调用中耗尽了交易对的储备，引起 BUBU2 价格的剧烈飙升。

为减少未来类似风险：

• 使用边界或锁定期保护关键参数，如 TRIGGER_INTERVAL。

• 限制或上限累积执行周期。

2. ACPRoute 事件

简要摘要

2026 年 3 月 2 日，Base 上的 ACPRoute 协议被利用，导致约 58K 美元的损失。根本原因是支付管理器合约中业务逻辑缺陷：作业状态被加载为内存副本而非存储引用，导致累积的支付跟踪从未持久化到链上。这使得攻击者能够创建一个作业，在阶段转换期间触发自动支付释放，然后通过无需许可的领取函数再次领取相同的托管资金。

背景

ACP（Agent Commerce Protocol）是一个模块化的链上商业协议，专为客户和供应商交互而设计。它将活动组织成三个层级：账户、作业和备忘录。作业遵循固定的生命周期（REQUEST → NEGOTIATION → TRANSACTION → EVALUATION → COMPLETED），在 TRANSACTION 阶段，付款由 PaymentManager 合约托管。当作业达到 COMPLETED 状态时，协议通过 releasePayment() 函数向供应商释放托管资金。为防止重复领取，协议使用 Job 结构体中的 amountClaimed 字段跟踪每个作业的累积支付。每次调用 releasePayment() 函数时，都会将请求金额与 amountClaimed 进行比较，以确保资金只释放一次。

漏洞分析

根本原因在于 PaymentManager 合约 (0x56c3...0684) 的 releasePayment() 函数，其中作业状态被加载为内存副本而非存储引用。尽管协议通过 amountClaimed 跟踪累积支付以防止重复领取，但 job.amountClaimed += amount 的增量操作仅作用于瞬态的局部副本，从未写回链上存储。因此，每次调用 releasePayment() 函数时，amountClaimed 的值都为 0，这使得攻击者能够在阶段转换自动调用 releasePayment() 函数并向供应商释放全部余额后，再次调用 claimBudget() 函数，第二次耗尽受害者合约 (0x307e...d6e8) 的资金。

攻击分析

以下分析基于交易 0xe94a...f9a0。

• 第一步：攻击者通过闪贷借入 97,000e6 USDC 作为后续攻击的资金。

• 第二步：在回调函数中，攻击者在 ACPRouter 上调用了 createJob() 函数，并部署了一个新的供应商合约（0x1ee502dd...）来接收资金。

• 第三步：攻击者反复调用 createMemo() 函数并调用供应商合约自身的 exec() 来推进作业阶段，直到触发 COMPLETED 阶段转换，自动调用 releasePayment() 函数并将全部余额释放给供应商合约。此时 amountClaimed 应该已更新，但其存储中的值仍为 0。

• 第四步：攻击者调用 claimBudget() 函数，成功地第二次领取了托管的 97,000e6 USDC 作为利润。

结论

此事件是由状态持久性缺陷引起的，该缺陷允许在同一作业生命周期内两次领取托管资金。

为减少未来类似风险：

• 确保使用存储引用更新关键状态变量（例如 amountClaimed）。

• 限制敏感的支付函数或在执行前强制进行严格的状态验证。

3. sDOLA Llamalend 市场事件

简要摘要

2026 年 3 月 2 日，以太坊上的 sDOLA Llamalend 市场被利用，导致约 239K 美元的损失。根本原因是价格操纵。具体而言，sDOLA 是一个 ERC4626 代币，其价格可以通过 donate() 进行操纵。Llamalend 是一个基于 AMM 的借贷市场，由于 LLAMMA 的机制，即使抵押品价格上涨，用户仍可能被清算。因此，攻击者可以使用 donate() 将 sDOLA 价格推高，使用户的头寸健康度降至零以下，然后清算这些用户以获利。

背景

LLAMMA（Lending-Liquidating AMM Algorithm）是 Curve [1] 使用的基于 AMM 的借贷市场。与传统借贷协议不同，LLAMMA 将用户抵押品置于 AMM 的价格区间内。随着预言机价格 $P{}_{oracle}P\backslash \backslash \_\{oracle\}$ 的变动，通过跨区间套利交易，抵押品在抵押品代币和 crvUSD 之间逐渐转换（软清算），逐渐降低头寸风险，而不是触发突然的清算。

如果软清算无法足够快地降低头寸风险，则会触发硬清算 [2]，当头寸健康度降至零以下时，就会发生硬清算。健康度通过 get_x_down() [3] 计算，该函数并不简单地将抵押品标记为市场价格。相反，它模拟用户头寸的往返转换，以评估其可恢复价值。此往返使用两个不同的价格锚点：一个源自当前 $P{}_{oracle}P\backslash \backslash \_\{oracle\}$（随实时预言机移动），另一个源自用户区间边界（在头寸创建时固定）。

漏洞分析

有缺陷的合约包括 crvUSD Controller (0xad44...fb86) 和 LLAMMA AMM (0x0079...a1f7)。受害者合约是 sDOLA Llamalend 市场 (0x2b08...4fbe)。

sDOLA 是一个 ERC4626 库代币，其份额价格由总资产与总份额的比例决定。由于任何人都可以调用 donate() 向库中添加资产，因此在单次交易中可以推高份额价格。这是 LLAMMA 健康度函数所依赖的可操纵预言机。

如背景中所述，get_x_down() 通过模拟两个价格锚点之间的往返转换来计算健康度：一个锚点源自 $P{}_{oracle}P\backslash \backslash \_\{oracle\}$（动态，随实时预言机移动），另一个锚点源自用户区间边界（静态，在头寸创建时固定）。协议在读取 $P{}_{oracle}P\backslash \backslash \_\{oracle\}$ 时不应用任何延迟或合理性检查。因此，当预言机价格被推高时，动态锚点上升，但静态锚点保持不变。实际上，模拟以推高的预言机价格将 crvUSD 转换为抵押品，并以原始区间价格转换回来，因此评估的可恢复价值随着两个锚点之间差距的扩大而缩小。这导致健康度降至零以下，即使抵押品价格已经上涨。

攻击分析

以下分析基于交易 0xb935...d8a4。

• 第一步：操纵 LLAMMA 状态（大额交易）以移动 active_band 并使许多用户进入仅 x 状态（仅 crvUSD）。

• 第二步：通过捐赠操纵 sDOLA 的价格，然后使用零金额交易（swap(0)）将操纵的价格写入 AMM 池。

• 第三步：通过 users_to_liquidate() -> _health() -> get_x_down() 触发健康度重新计算。

• 第四步：由于 get_x_down() 通过两个发散的价格锚点（动态锚点，现已推高；静态锚点，未改变）计算可恢复价值，往返转换导致有效价值大幅缩水，许多头寸的健康度降至零以下。

• 第五步：批量硬清算这些用户以获利。

此外，跟踪记录了两次 create_loan() 调用。第一次贷款主要用于资助大额 crvUSD 交易操作。第二次贷款用于获取 crvUSD 来偿还第一次头寸的债务并回收资金。这两次贷款主要是融资/结算环节，本身并非核心的攻击步骤。

结论

该事件是一起抵押品价格操纵攻击。攻击者在交易中操纵了 sDOLA 的价格，并由于 LLAMMA 的基于路径的健康度机制，将用户推入了清算条件。一个关键的后果是，即使抵押品价格上涨，头寸仍可能变得可清算。建议的加固方向：

• 使用延迟或 TWAP（时间加权平均价格）抵押品价格进行清算。

参考资料

• [1] Curve crvUSD LLAMMA 文档： [https://dev.curve.finance/crvUSD/amm/#bands](https://dev.curve.finance/crvUSD/amm/#bands)

• [2] Curve LLAMMA 清算解释器： [https://dev.curve.finance/crvUSD/llamma-explainer/#liquidation](https://dev.curve.finance/crvUSD/llamma-explainer/#liquidation)

• [3] Curve 稳定币白皮书： [https://docs.curve.finance/pdf/whitepapers/whitepaper\_curve\_stablecoin.pdf](https://docs.curve.finance/pdf/whitepapers/whitepaper_curve_stablecoin.pdf)

4. z0r0z 的 V4 Router 事件

简要摘要

2026 年 3 月 3 日，以太坊上的 z0r0z V4 Router 被利用，导致约 42K 美元的损失。攻击原因是 swap() 中授权逻辑缺陷，路由器依赖于内联汇编中固定的调用数据偏移量来验证付款人是否与 msg.sender 匹配。由于 ABI 编码对于动态类型不保证固定布局，攻击者能够构造非标准但有效的调用数据，绕过检查，冒充先前已批准的受害者作为付款人，并将交易输出重定向到攻击者控制的地址。

背景

该协议继承自 Uniswap v4 Router，并重写了其中一些方法。本质上，它充当一个兑换路由器，允许用户避免直接与相应的池交互，而是使用路由器作为统一的入口点。

漏洞分析

根本原因是 V4 Router 合约 (0x0000...ce97) 中业务逻辑缺陷。受害者合约是 0x65a8...7675。swap() 函数接受两个参数：data (bytes) 和 deadline (uint256)。在函数内部，授权检查使用内联汇编块比较 calldataload(164) 和 caller()，确保 data 中编码的付款人与 msg.sender 匹配。协议假设字节偏移量始终是 0x40，将付款人置于字节位置 164 (0xa4)。

然而，ABI 编码不保证此布局：动态参数仅在头部存储偏移量，该偏移量合法地可以指向调用数据中任何对齐的位置。通过构造一个有效但非标准的编码，其中字节偏移量移动到 0xc0，攻击者可以在头部和实际尾部之间插入任意填充。攻击者将自己的地址放在字节位置 164 以通过汇编检查，而位于重新定位尾部的实际字节负载将受害者的地址编码为付款人。通过选择先前已批准路由器的受害者并将接收者设置为自己的地址，攻击者可以重定向兑换输出并窃取资金。

攻击分析

以下分析基于交易 0xfe34...466a。

• 第一步：选择一个先前已批准路由器的用户作为目标。

• 第二步：构造调用数据以绕过授权检查。

• 第三步：在数据中指定受害者为付款人，将攻击者自己的地址设置为代币接收者，然后窃取受害者的资产。

结论

此事件是由在兑换路径中依赖硬编码的调用数据偏移量进行授权引起的。由于动态类型的 ABI 编码不保证固定布局，攻击者使用非标准但有效的调用数据绕过了检查，冒充已批准的受害者作为付款人，并重定向了兑换输出。

为减少未来类似风险：

• 切勿依赖硬编码的调用数据偏移量处理动态 ABI 编码的参数。

• 使用标准的 ABI 解码而不是手动位置假设来解码和验证结构化输入。

• 确保实际的付款人、接收者和代币流与预期调用者和执行上下文进行一致验证。

5. BitcoinReserveOffering 合约事件

简要摘要

2026 年 3 月 5 日，以太坊上的 BitcoinReserveOffering 合约被利用，导致约 270 万美元的损失。根本原因是业务逻辑缺陷：在处理完整的 ERC-3525 SFT 存款时，铸币逻辑在单个调用中执行了两次，一次是在转账回调中，一次是在主流程中。攻击者通过重复的销毁-铸造循环利用了这种双重铸币行为，指数级地膨胀了他们的 BRO 代币余额，然后赎回多余的代币以换取 SolvBTC 实现利润。

背景

BitcoinReserveOffering 是一个包装合约，它将 ERC-3525 SFT 头寸转换为可转让的 ERC-20 BRO 代币。用户可以调用 mint() 函数来存入符合条件的 SFT，合约将根据设定的汇率铸造相应数量的 BRO。如果用户仅存入 SFT 的一部分价值，合约会将指定金额转入其内部持有的头寸，然后铸造相应价值的 BRO。如果用户存入整个 SFT，合约会将整个代币转入包装合约，并根据 SFT 的总价值铸造 BRO。用户之后可以调用 burn() 函数将 BRO 赎回为相应的 ERC-3525 SFT 头寸，将包装的 ERC-20 价值转换回 SFT 头寸。

漏洞分析

根本原因是 BitcoinReserveOffering 合约 (0x15f7...cfcf) 在 mint() 函数中处理完整的 ERC-3525 SFT 存款时，会执行两次铸币逻辑。具体来说，在 amount_ == sftBalance 分支中，mint() 调用 ERC3525TransferHelper.doSafeTransferIn() 将整个 SFT 安全地转入合约，这会触发 onERC721Received() 回调。在此回调中，合约已经计算出 SFT 的价值并向发送者铸造了 BRO。回调返回后，mint() 继续执行，使用相同的 amount_ 重新计算价值，并执行第二次 _mint(msg.sender, value) 操作。这种双重铸币行为允许攻击者通过销毁-铸造循环反复膨胀其 BRO 余额。

攻击分析

以下分析基于交易 0x44e6...958d。

• 第一步：攻击者将 135e18 BRO 代币作为种子资金转入攻击合约。

• 第二步：攻击者执行以下循环：

1. 将 135e18 BRO 代币包装成 SFT 代币。

2. 调用 mint() 并传入完整的 SFT 价值，这会触发 onERC721Received() 回调并铸造 135e18 BRO 代币；外部的 mint() 然后继续并再次调用 _mint()，总共导致双重铸币 270e18 BRO 代币。

3. 将 270e18 BRO 代币包装回 SFT 代币。

• 第三步：重复第 2 步 22 次后，攻击者累积了约 567,758,816e18 BRO 代币，最终赎回为 38e18 SolvBTC 作为利润。

结论

此事件是由全额 SFT 存款期间的双重铸币引起的，允许攻击者通过重复的销毁-铸造循环指数级地膨胀其 BRO 余额，并将其多余的代币赎回为 SolvBTC。

为减少未来类似风险：

• 确保资产核算在每次存款操作中只发生一次。

• 添加不变性检查，防止铸币金额超过底层存款价值。

6. MoltEVM 事件

简要摘要

2026 年 3 月 7 日，Base 上的 MoltEVM 协议被利用，导致约 127K 美元的损失。根本原因是代币合约中访问控制逻辑缺陷：特权的铸币函数由一个修饰符保护，该修饰符仅检查调用者是否是具有特定接口的合约，而这可以被轻易伪造。攻击者部署了一个恶意合约来绕过检查，铸造了大量代币，并通过流动性池倾销以获利。

背景

MoltEVM 是部署在 Base 上的实验性 ERC-20 代币协议，它探索了自复制代币模型。该系统允许代币在达到一定的储备阈值后生成新的子代币（“Moltling”代币）。当创建新的 Moltling 时，初始代币供应会通过 mintFromSpawner() 函数分配，并自动注入流动性以建立新代币的交易市场。这种设计使得协议能够自主地扩展其代币谱系，每一代代币都能生成进一步的后代。

漏洞分析

漏洞存在于 MoltEVM 合约 (0x225d...501f) 中 mintFromSpawner() 和 setExemptFromSpawner() 函数的访问控制逻辑。这两个函数都依赖于 onlySpawnerToken 修饰符，该修饰符旨在将调用限制为协议生成的合法 Moltling 合约。

然而，该修饰符仅执行两个薄弱的检查：它验证 msg.sender 是否为合约，并且调用该调用者的 initialized() 是否返回 true。由于这些条件可以被任何实现相同接口的任意合约轻易满足，因此该检查并未提供合法生成代币的有效身份验证。

结果是，攻击者可以部署一个最小化的合约，该合约仅实现一个返回 true 的 initialized() 函数。一旦部署，恶意合约就可以自由地调用 mintFromSpawner() 来铸造任意数量的代币，并且还可以调用 setExemptFromSpawner() 来将攻击者控制的地址列入白名单。这有效地使攻击者能够完全控制铸币路径，并允许新铸造的代币被倾销到流动性池中以获利。

攻击分析

以下分析基于交易 0x10b7...e03d。

• 第一步：攻击者部署了一个最小化的合约，该合约实现了一个单一的 initialized() 函数，该函数被硬编码为返回 true，这足以通过 onlySpawnerToken 修饰符的检查。

• 第二步：攻击者的合约调用了受相同易受攻击的 onlySpawnerToken 修饰符保护的 setExemptFromSpawner() 函数，以将攻击者的地址添加到税费豁免白名单中。这确保了后续大规模代币倾销不会触发销售税或内部交易逻辑，从而最大化利润。

• 第三步：攻击者首先对 mEVM 重复了 setExemptFromSpawner() + mintFromSpawner() 函数序列，然后对多个 Moltling 子代币（包括 CSPAWN、CCUTTL、LWORM 和 NHYDRA）执行了此操作，批量铸造所有目标代币，并将其倾销到各自的流动性池中以提取利润。

结论

此事件是由对特权铸币和配置函数的访问控制不足引起的，允许攻击者冒充合法的生成者并铸造任意代币以获利。

为减少未来类似风险：

• 为特权的铸币或配置函数强制执行严格的访问控制。

• 避免依赖容易被伪造的合约检查进行授权。

• 通过显式白名单或受信任的合约注册表验证调用者身份。

7. LEDS 事件

简要摘要

2026 年 3 月 8 日，BNB Chain 上的 LEDS 代币被利用，导致约 64K 美元的损失。根本原因是业务逻辑缺陷：代币合约暴露了多个独立的通缩机制，每个机制都可以直接从流动性对中销毁代币，并且都没有受到访问控制或冷却期的保护。攻击者在一个交易中链接了所有销毁路径，导致交易对的 LEDS 储备近乎为零，而 WBNB 储备保持不变，然后通过反向兑换耗尽不平衡的池以获利。

背景

LEDS 是 BNB Chain 上的一种通缩代币，内置了交易费机制。其 _transfer() 实现的多个销毁机制旨在逐步减少供应并支撑价格：一个每日销毁函数 triggerDailyBurnAndMint()，通过在卖出时累积 stor_18 进行的延迟销毁，以及一个在兑换接收者设置为 PancakeSwap Router 时将代币销毁到 0xdead 的特殊分支。该代币还具有 deposit() 函数，用户通过该函数发送 BNB 来铸造 LEDS 并提供流动性，从而赚取 LP 奖励，这些奖励可以通过分发器领取。

漏洞分析

根本原因是 LEDS 代币合约 (0xfb62...a48f) 中的业务逻辑缺陷。受害者是 LEDS/WBNB 交易对 (0xd109...6f3f)。该代币实现了多个通缩机制：triggerDailyBurnAndMint()，卖出路径 stor_18 累积，以及 _transfer() 中的 to == router 销毁分支。这些机制中的每一个都会独立地从流动性对中移除 LEDS 并调用 sync() 更新储备。

虽然这些机制单独作为渐进的通缩工具，但它们可以在单个交易中链接起来以加剧其影响。此外，公共函数 0x17a06174() 允许任何人随时冲刷所有累积的 stor_18 余额，没有访问控制或速率限制。通过依次堆叠这些销毁路径，攻击者可以将交易对的 LEDS 储备减少到几乎为零，同时保持 WBNB 储备不变，从而造成可以通过反向兑换利用的极端价格错位。

攻击分析

以下分析基于交易 0x2608...79da。

• 第一步：攻击者通过闪贷（Moolah + Venus collateral borrowing + Aave + PancakeSwap V4）获得了大量 WBNB。

• 第二步：进行了多次 deposit() 调用以累积 LP 奖励，然后触发 triggerDailyBurnAndMint()，该函数从交易对中销毁了一部分 LEDS 并将奖励发送到分发器，减少了池中的 LEDS 储备。

• 第三步：调用函数 0xde1b1942() 领取累积的 LEDS 代币奖励。

• 第四步：将领取的 LEDS 兑换成 WBNB。由于卖出后交易对的 LEDS 余额超过了阈值，转账金额被累积到 stor_18（待销毁）。

• 第五步：通过 PancakeSwap 使用接收者设置为 Router 地址的 LEDS 进行购买。这触发了 _transfer() 中的一个特殊分支，该分支将购买的 LEDS 直接从交易对销毁到 0xdead，进一步减少了池中的 LEDS 储备。

• 第六步：调用函数 0x17a06174()，该函数将整个 stor_18 余额（在第 4 步中累积）从交易对销毁到 0xdead 并调用 sync()，使池中的 LEDS 储备崩溃到仅剩 2 wei。

• 第七步：进行反向兑换，从现在高度不平衡的池中耗尽 WBNB，偿还所有闪贷，并获利 104.56 WBNB（64K 美元）。

结论

此事件是由多个无保护的通缩机制引起的，这些机制可以在单个交易中链接起来，导致流动性对储备灾难性地枯竭。

对于实现通缩或自动销毁机制的任何代币合约，开发人员应：

• 绝不暴露从交易对销毁的函数，而不进行适当的访问控制、速率限制或冷却期强制执行。

• 避免允许在单个交易中顺序触发多个独立的销毁机制。

关于 BlockSec

BlockSec 是一家全栈区块链安全与加密合规提供商。我们构建的产品和服务可帮助客户在协议和平台的整个生命周期中执行代码审计（包括智能合约、区块链和钱包）、实时拦截攻击、分析事件、追踪非法资金，并满足 AML/CFT 义务。

BlockSec 已在著名会议上发表了多篇区块链安全论文，报告了多个 DeFi 应用的零日攻击，阻止了多次黑客攻击并挽救了超过 2000 万美元，并保护了数十亿美元的加密货币。

• 官方网站：https://blocksec.com/

• 官方 Twitter 账号：https://twitter.com/BlockSecTeam

• 🔗 BlockSec 审计服务 : 提交请求

• 🔗 Phalcon 安全应用: 预约演示

• 🔗 Phalcon 合规