2026 年 7 月 1 日,Edel Finance 发现并成功遏制了一起针对其 V1 借贷协议的漏洞攻击,导致约 40.3 万美元的坏账。该协议立即暂停了受影响的合约,确认用户存款不会遭受损失,并宣布计划在恢复用户余额后按 1:1 比例进行补偿,随后再恢复正常运营。尽管与 2026 年发生的几起重大 DeFi 攻击相比,本次攻击规模相对较小,但它暴露了一个新兴的安全挑战——随着借贷协议对代币化现实世界资产的支持范围不断扩大,相关风险也在增加。
与常见的目标外部价格预言机的操纵攻击不同,Edel Finance 攻击聚焦于协议内部的抵押品估值机制。据安全研究人员分析,攻击者从 Morpho Blue 获取了 18 万 USDC 的闪电贷,随后通过多次涉及 wGOOGLx(代币化谷歌股票 GOOGLx 的封装版本)的借贷和赎回交易实施攻击。
通过反复将 GOOGLx 赎回并捐赠回 ERC-4626 金库,攻击者人为地将金库的每股资产比率从约 6 推高至近 79。由于 Edel 的借贷协议依赖这一实时兑换率,抵押品的价值被严重高估。随后,攻击者借出了约 38.4 万 USDC 及其他封装 xStock 资产,直到被操纵的估值恢复正常。
本次事件最值得关注的一点是,Chainlink 的基础价格数据在整个攻击过程中始终保持准确。漏洞并非源于谷歌的市场价格或预言机本身,而是存在于 Edel 如何将封装资产的兑换率转化为抵押品价值的环节。这一区别凸显了 DeFi 安全领域的重要转变:现代借贷协议越来越依赖多层估值机制,包括封装资产、金库记账以及份额换算逻辑。即使外部预言机工作正常,这些内部计算中的弱点仍可能使借贷市场面临操纵风险。此前,类似的定价问题已在多起 DeFi 攻击中暴露,例如 YieldBlox 预言机操纵事件。
本次攻击还表明,与传统加密货币抵押品相比,代币化现实世界资产引入了更多攻击面。协议不仅要确保价格数据源的安全,还必须保证封装资产、金库转换以及抵押品记账在同一笔交易中不被操纵。随着代币化股票在 DeFi 领域的日益普及,借贷平台很可能需要加强防护措施,例如采用抗捐赠的金库记账、兑换率验证、利率上限以及多层抵押品验证机制,才能将封装资产作为可借出的抵押品。
攻击发生后,Edel Finance 暂停了所有 V1 借贷合约,开始追踪被盗资金,并向攻击者提供白帽赏金,鼓励其归还剩余资产。团队同时确认存款人不会承担任何损失,协议内部吸收了约 40.3 万美元的亏空,同时着手设计全新的 V2 架构。链上调查人员表示,攻击者在转换借入资产后,通过 Tornado Cash 转移了被盗资金。Edel 称,一旦用户余额完全恢复,将重新开放提现功能。
Edel Finance 事件表明,保护代币化现实世界资产不仅需要准确的市场定价。从基础资产到借贷协议之间的每一个转换层都必须具备抗操纵能力,尤其是涉及 ERC-4626 金库和封装抵押品时。本次攻击是众多针对抵押品估值而非外部市场价格的借贷攻击之一。近期的案例,包括 Polymarket UMA CTF Adapter 攻击,持续表明定价基础设施仍是 DeFi 最严峻的安全挑战之一。正如 Crypto Security Report Q2 2026 所强调的,预言机操纵和闪电贷辅助攻击仍然是导致协议损失的主要原因。随着代币化现实世界资产在去中心化金融中的广泛整合,稳健的抵押品估值机制正变得愈发重要。