loading...
IPOR Labs在以太坊扩容网络Arbitrum上运营的USDC融合优化金库因黑客攻击导致约33.6万美元损失。调查显示,此次事件源于攻击者结合利用了旧版智能合约的安全漏洞与以太坊升级新引入的委托执行功能。
区块链安全公司Hexagate与Blockaid于1月6日监测到异常交易。IPOR Labs经内部调查确认,该金库因攻击交易滥用“熔断”设置而导致资金非法外流。被盗资产经桥接至以太坊主网后转入隐私混合服务Tornado Cash,安全公司Certik追踪此路径发现约33万美元已被混合处理。
分析指出,此次攻击得以实现源于两个条件结合。首先,受攻击金库为490日前部署的初版合约,缺失对内部称为“熔断”的合约模块真实性验证流程,致使攻击者可夺取仅管理员可访问的设置权限并插入恶意熔断模块。
此外,近期以太坊“Pectra”升级引入的EIP-7702委托功能成为关键突破口。攻击者利用该功能伪装管理员账户,启动了包含“任意调用”功能的委托合约,从而直接调用金库的提款函数,将资金转移至其钱包。
IPOR表示,攻击精准选择了瞬时提款功能执行时点发起,现有安全监测系统未能实时拦截。
IPOR强调,此后部署的所有金库版本均已引入熔断验证机制,同类攻击无法重现。攻击者滥用的EIP-7702委托合约仅在两座金库中作为奖励自动化功能使用,其中安全强化前部署的金库成为唯一脆弱点。
为弥补损失,IPOR DAO将动用约33.6万美元自有资金进行赔付,该金额不足融合平台总资金的1%。目前IPOR正与安全公司SEAL协作追踪资金流向,并协同交易所推进资产追回工作。
据安全机构Peckshield数据,2025年12月加密货币黑客攻击规模为7600万美元,较上月下降60%,但2026年1月以来精密攻击再度频发。近期跨链钱包攻击、多签钱包劫持、供应链黑客等多种攻击形式呈现激增态势。
其中备受关注的事件包括Trust Wallet圣诞节供应链攻击,恶意npm包导致开发者钱包信息泄露,约2500个钱包中价值约700万美元的比特币、以太坊及Solana资产被盗。
专家警示,虽然代码安全性逐步提升,但人为失误与运营安全正成为新薄弱环节。安全平台Immunefi的Mitchell Amador指出:“相较于开发代码,金库运营与用户习惯正成为新的攻击焦点。”
626
209
464
339
743
230
813
328
171
964
