loading...
IPOR Labs在以太坊扩容网络Arbitrum上运营的USDC融合优化金库遭遇黑客攻击,造成约33.6万美元损失。调查揭示,此次事件源于攻击者结合利用了旧版智能合约的安全缺陷与以太坊“Pectra”升级引入的委托执行功能,凸显当前链上生态面临的新一轮安全挑战。
区块链安全公司Hexagate与Blockaid于1月6日监测到异常交易行为。经IPOR Labs内部核查确认,该金库因攻击交易滥用“熔断”设置,导致资金被非法外流。被盗资产通过跨链桥接至以太坊主网后转入隐私混合服务Tornado Cash,Certik追踪显示约33万美元已完成混币处理,追回难度加大。
分析指出,攻击成功依赖两个关键条件。其一,受攻击金库为490日前部署的初版合约,未实现对“熔断”模块的真实性验证,使攻击者可夺取仅限管理员访问的权限,并植入恶意熔断逻辑。
其二,近期以太坊升级引入的EIP-7702委托功能成为突破口。攻击者利用该功能伪装成管理员账户,启动具备“任意调用”能力的委托合约,直接触发金库提款函数,将资金转移至自身钱包。
IPOR表示,攻击精准选择瞬时提款执行窗口发起,现有安全监测系统未能及时拦截,暴露出实时风控机制的滞后性。
IPOR强调,后续所有新部署金库均已强制启用熔断验证流程,杜绝同类攻击重现。目前,仅有早期版本中使用的两座金库曾集成该委托功能,且仅作为奖励自动化用途,安全强化前的版本成为唯一薄弱点。
为弥补损失,IPOR DAO决定动用约33.6万美元自有资金进行全额赔付,占融合平台总资金规模不足1%。目前,团队正联合安全机构SEAL追踪资金流向,并协同主流交易所推进资产追回工作。
据安全机构Peckshield数据,2025年12月加密货币黑客攻击总金额达7600万美元,环比下降60%。然而进入2026年1月,精密攻击再度频发,跨链钱包劫持、多签钱包入侵、供应链污染等新型手段呈现上升趋势。
典型案例包括Trust Wallet圣诞节期间发生的供应链攻击:恶意npm包导致开发者钱包信息泄露,波及约2500个钱包,涉及比特币、以太坊及Solana资产总计超700万美元。
专家警示,尽管代码审计水平提升,但人为操作失误与运营安全管理正成为新的攻击焦点。Immunefi分析师Mitchell Amador指出:“如今最危险的不是代码漏洞,而是管理疏漏与用户习惯问题。”
随着链上金融生态复杂度增加,用户对平台安全性的要求日益提高。对于希望参与加密资产交易的用户,可以选择在币安或欧易等知名平台进行注册和交易。币安和欧易提供多币种交易、低手续费和稳定服务,用户可通过官网或 App 下载快速注册,畅享便捷投资体验。无论是关注市场趋势还是防范潜在风险,选择安全高效的平台至关重要。建议用户优先使用币安官方网或欧易官方网获取最新入口下载信息,确保账户安全。
667
126
910
175
783
946
158
393
885
465
