合約漏洞

ChainCatcher 消息，据 The Block 報導，跨鏈流動性協議 CrossCurve（原名 EYWA）確認其跨鏈橋協議"正遭受攻擊"，原因是其智能合約中的一個漏洞被利用，導致約 300 萬美元資金被跨多個網絡竊取。區塊鏈安全機構 Defimon Alerts 發現，此次攻擊的攻擊途徑是 CrossCurve 的 ReceiverAxelar 合約中的網關驗證繞過漏洞。分析顯示，任何人都可以使用偽造的跨鏈消息調用該合約的 expressExecute 函數，從而繞過預期的網關驗證，並觸發協議 PortalV2 合約上的未經授權的代幣解鎖。該協議由 Curve Finance 創始人 Michael Egorov 支持，此前已融資 700 萬美元。

ChainCatcher 消息，据市場消息，數小時前發現一系列針對部署在以太坊、Arbitrum、Base 和 BSC 上的受害合約的可疑交易，這些交易由兩名創建者部署的合約遭受攻擊，總損失超過 1700 萬美元。受害合約並非開源，且似乎存在任意調用功能漏洞。攻擊者濫用現有的代幣授權，執行 transferFrom 操作以盜取資產。受影響部署者：0xbeef63AE5a2102506e8a352a5bB32aA8B30B3112------損失約 367 萬美元；0x9cb8d9BaE84830b7F5F11ee5048c04a80b8514BA------損失約 1,341 萬美元。

ChainCatcher 消息，慢霧在 X 平台發文表示，MistEye 檢測到與 Fusion 相關的潛在可疑活動。根本原因為項目團隊通過 EIP-7702 控制的 EOA 賬戶所委託的基礎合約存在漏洞，該漏洞允許任意外部調用，導致攻擊者能夠為 PlasmaVault 創建並配置惡意熔斷合約，從而從合約中提取資金。

ChainCatcher 消息，根據慢霧區塊鏈不完全統計，全年共發生安全事件 200 起，造成損失約 29.35 億美元。相比 2024 年（410 起，損失約 20.13 億美元），儘管事件數量明顯下降，但損失金額卻同比上升約 46%。從生態分佈來看，Ethereum 仍然是受攻擊最為頻繁、損失最為嚴重的生態，全年損失約 2.54 億美元，占比顯著領先；BSC 緊隨其後，相關損失約為 2193 萬美元；Solana 則位列第三，全年損失約 1745 萬美元。按項目賽道劃分，DeFi 項目是最常遭攻擊的領域：2025 年共發生 126 起安全事件，占全年總數約 63%，造成損失約 6.49 億美元，相較 2024 年（339 起，損失 10.29 億美元）下降約 37%。交易平台事件僅 12 起，卻造成高達 18.09 億美元損失，其中 Bybit 單次即損失約 14.6 億美元，是全年最嚴重事件。從事件的攻擊原因來看，合約漏洞是主要誘因，共 61 起；X 帳號被黑緊隨其後，共 48 起。報告指出，隨著生成式 AI 在過去兩年加速普及，攻擊者也開始將其納入詐騙與攻擊鏈條。與傳統工具相比，AI 在文本、語音合成、圖像與視頻生成上的能力顯著降低了詐騙成本，攻擊不再依賴粗糙的話術或明顯異常的行為，而是通過高度擬真的內容、連貫的互動和精確的對象選擇，使受害者在心理層面更難察覺風險。

ChainCatcher 消息，据 Anthropic 發布的前沿紅隊測試結果，AI 代理在模擬區塊鏈環境中識別出多個智能合約漏洞，潛在可被利用金額達 460 萬美元。測試涵蓋合約分析、命令行工具配置、網絡重建、Exploit 生成與驗證等完整流程，並配套推出智能合約安全評估新基準。該研究由 Anthropic、MATS 項目與 Fellows 計劃聯合完成。

ChainCatcher 消息，据加密分析師 Ai 姨 @ai_9684 xtpa 監測，地址 0xf3d...58db2 於兩小時前惡意增發 50 億枚 GAIN 並迅速拋售，導致幣價閃崩 95%，累計套現約 301 萬美元。該地址創建於 11 小時前，資金來源於 13 小時前從 Tornado 接收 ETH 後經 Symbiosis 跨鏈兌換為 BNB。黑客在 7:04 增發後 22 分鐘開始拋售，持續約 55 分鐘，目前正通過 deBridge 將獲利跨鏈至 Solana、Ethereum、Base 及 Arbitrum 等網絡。分析認為，此次操作更像是利用合約漏洞，而非項目方行為，具體情況有待官方公告確認。

ChainCatcher 消息， Arbitrum 生態模組化交易平台 Kinto 聯合創始人 Ramon Recuero 發文回應昨日的攻擊事件。黑客利用 Arbitrum 上一個可無限鑄造 K 代幣的漏洞，鑄造了 11 萬枚 K 並發起攻擊，試圖耗盡 Morpho Vault 和 Uniswap v4 的流動性池。此次事件共造成約 155 萬美元的 ETH 和 USDC 損失，並引發 K 代幣價格劇烈波動。目前，Kinto 團隊正與相關方合作追蹤被盜資金。官方表示，若成功追回資產或籌集到補償資金，將在 7 月 31 日前根據攻擊前的快照恢復用戶 K 代幣餘額，並按被攻擊前價格重新啟動 CEX 上的交易。

ChainCatcher 消息，Base 生態遊戲項目 Henlo Kart 表示，"已對所有 HENLO 持有者和 LP 頭寸進行快照。在 HENLO 合約中發現了一個漏洞。團隊正在尋找解決方案。Henlo 已撤回所有團隊代幣的 LP。從當前 LP 頭寸中移除的所有流動性都將重新存入新的 LP 頭寸。"Henlo Kart 代幣 HENLO 在過去 24 小時跌逾 96%，市值暫報 10.6 萬美元。HENLO 市值曾在 1 月 14 日達到 9200 萬美元。

ChainCatcher 消息，据 CrowdFund Insider 報導，安永（EY）宣布為其區塊鏈分析器：智能合約與代幣審查（SC&TR）工具推出新的人工智慧功能，旨在通過更廣泛的代碼覆蓋率增強智能合約漏洞檢測，並簡化合約模擬流程，實現更快速、更穩健的智能合約審查。該 AI 功能允許用戶通過自然語言提示和工具的測試引擎自動化並模擬整個合約審查過程，顯著提高效率。這一功能基於大量現有測試和模擬庫進行訓練，可支持審查人員並提高漏洞檢測能力。自動化使客戶能夠在保持相同資源的情況下實現更高的測試覆蓋率，同時將安永團隊的審查時間減少 50%。安永全球區塊鏈負責人 Paul Brody 表示："為了充分發揮智能合約的真正價值，企業首先需要消除測試過程中耗時且容易忽視漏洞的手動流程。我們的區塊鏈分析器展示了區塊鏈和 AI 如何相互補充，實現流程自動化和改進。"

ChainCatcher 消息，1inch 團隊發現其舊版 Fusion v1 解析器智能合約存在漏洞。据慢霧安全團隊分析，此次事件造成約 240 萬 USDC 和 1276 WETH 損失，總計超過 500 萬美元。官方確認此次漏洞不影響終端用戶資金，受損對象僅為使用 Fusion v1 的解析器合約。1inch 目前已採取措施，並正持續跟進安全狀況。

ChainCatcher 消息，慢霧發布安全警報稱，其在 3 月 5 日檢測到與 1inch 相關的可疑交易，損失金額約 100 萬美元。此前消息，1inch 披露其團隊於 3 月 5 日發現了使用過時 Fusion v1 實現的解析器智能合約中的一個漏洞。

ChainCatcher 消息，機器智能網絡 Spectral 發布事後報告稱，其 Syntax 平臺在 12 月 1 日遭遇安全漏洞攻擊。Spectral 表示已識別並修復了 Bonding Curve 合約中的漏洞，防止未來再次發生類似攻擊。目前已委託 Zellic 對更新後的合約進行審計，並將補充 SPEC 代幣以恢復 Bonding Curve 至攻擊前狀態。項目方表示，平臺將在完成審計後恢復運營。

ChainCatcher 消息，以太坊聯合創始人 Vitalik Buterin 在 Bountycaster 上發布"次線性質押合約（Sublinear Staking Contract）的漏洞賞金"，獎金金額總計為 2 ETH，用於識別合約中的任何錯誤 / 漏洞並提出具體修復建議，如果發現多個問題，獎金將根據嚴重程度進行分配。具體要求為：在其發布的次線性質押合約中，如果用戶在白名單中（指定為 ERC1155 集合），那麼可以質押 N 個幣，並且每個槽位獲得 N ** 0.75 個幣的回報，只要合約有代幣來支付它。有一個 fundedUntil 機制，可以確保如果合約用完錢，每個質押者都會在 fundedUntil 時間戳之前的每個時段獲得獎勵，並且該機制不會變成部分準備金。

ChainCatcher 消息，据 The Block 報導，Forta 是一家由 a16z crypto、Coinbase Ventures 和其他投資者支持的 Web3 安全公司，現已推出新產品防火牆，以幫助檢測和防止智能合約漏洞。據悉，該防火牆採用了名為 FORTRESS 的機器學習和人工智能模型，該模型通過檢查交易日誌來分析和檢測高風險交易。Forta 防火牆的商業模式是每月收取固定費用，不過 Beal 拒絕透露具體金額。初始客戶包括 Euler、Plume 和 Balmy。

ChainCatcher 消息，跨鏈互操作性協議 LayerZero 首席執行官 Bryan Pellegrino 在社交媒體致信 Across Protocol 團隊表示，"我想通知你們，你們的代幣合約存在一個關鍵問題。你們錯誤地暴露了一個原本應作為內部私有函數的功能，該功能是 Open Zeppelin 在其 ERC20 代幣實現中編寫的，旨在銷毀代幣，並將其給予了合約所有者------這使得你們可以隨時隨意從任何錢包中提取代幣，任意地將任何帳戶的餘額搞成 0。此外，你們的 Across Protocol 和 UMA Protocol 合約都有無限鑄幣的能力，但我已經通知你們這兩個問題，而你們似乎並不在意。要解決這個問題而不需要重新發行代幣：將合約所有權轉移到一個新的智能合約，以防止鑄幣量超過總供應量，也不允許銷毀。由於這是一個永久性漏洞，新合約必須是不可變的，並且不應包括任何轉移所有權的功能。如果你們有一個活躍的漏洞懸賞計劃，可以將此信息歸功於 LayerZero 團隊。"

ChainCatcher 消息，据 Coin98 Analytics 統計，最近記錄的前 15 起加密攻擊事件總計造成損失達約 3.13 億美元。其中，9 起攻擊是由於合約漏洞造成的，其餘則是由於惡意軟體、閃電貸攻擊或未知的攻擊方式。

ChainCatcher 消息，据 CertiK Alert 監測，8 月加密領域因漏洞、黑客攻擊和詐騙損失了約 3.006 億美元，其中約 1030 萬美元已被追回。這是 2024 年迄今為止第二高的單月損失。其中：退出詐騙（Exit Scam）：約 80 萬美元閃電貸：約 120 萬美元合約漏洞攻擊：約 3.088 億美元

ChainCatcher 消息，Nexera 發布公告稱，團隊正在調查涉及包含 NXRA 代幣的智能合約的漏洞。還未最終確定調查結果，但可以分享一些信息：NXRA 代幣合約已暫停，DEX 的交易已停止，我們正在與 CEX 合作停止交易；建議所有人停止交易。我們現在繼續調查漏洞，並將儘快回來採取後續措施，我們將以最高優先級解決此問題。此前消息，據 Cyvers Alerts 系統監測，鏈上訂單簿協議 Nexera 代理合約存在可疑交易，某地址獲得代理合約的所有權並對其進行了升級。不久之後，該地址使用提款管理功能轉移了所有 NXRA 代幣。該地址目前正在出售所有代幣換取 ETH，並且部分資金已經橋接到 BNB 鏈，總估計損失約為 150 萬美元。

ChainCatcher 消息，据 Cyvers Alerts 監測，Blast 生態項目 Bloom 出現合約漏洞，總損失達 60 萬美元，攻擊者已將所有被盜資金轉移到 ETH 網絡。