零时科技每月安全事件看点开始了!据多家区块链安全监测平台统计,2026 年 2 月加密货币领域安全态势整体平稳但风险突出:当月因安全事件造成的总损失约 2.28 亿美元,其中黑客攻击与合约漏洞相关的损失约 1.26 亿美元,钓鱼诈骗及 Rug Pull 相关损失约 1.02 亿美元。协议黑客攻击共发生 18 起,损失较上月下降 9.2%;钓鱼与授权劫持类诈骗事件共发生 13 起,占当月总事件数的 41.9%,其中多起 AI 仿冒钓鱼事件造成大额损失,成为推动诈骗类损失走高的主要原因。黑客组织攻击重心持续向低成本、高收益的社会工程学攻击倾斜,结合 AI 生成页面的精准钓鱼手法愈发普遍,个人投资者及中小型项目成为主要攻击目标。
黑客攻击方面
典型安全事件6起
• CrossCurve 跨链桥合约验证漏洞攻击
损失金额:约 300 万美元
事件详情:2 月 1 日 - 2 月 2 日,去中心化跨链协议 CrossCurve 遭遇黑客攻击,攻击者利用 ReceiverAxelar 合约的 expressExecute 函数存在的网关验证绕过漏洞,伪造跨链消息,未经授权从协议的 PortalV2 合约中解锁并盗取代币,涉及多条链,总损失约 300 万美元。事件发生后,CrossCurve 团队紧急暂停跨链服务,修复漏洞,并公布 10 个接收被盗代币的地址,提出 72 小时内归还资金可获得 10% 赏金的方案,目前已成功控制局势,部分被盗 EYWA 代币因交易所冻结无法流通。
• Vibe Coding 智能合约 AI 代码漏洞攻击(Moonwell 协议)
损失金额:约 178 万美元
事件详情:2 月 18 日,DeFi 协议 Moonwell 遭黑客攻击,核心原因是其使用 Claude Opus 4.6 生成的智能合约代码存在致命漏洞,将 cbETH 资产价格错误设定为 1.12 美元(实际约 2200 美元),黑客利用该价格偏差过度借贷,造成约 178 万美元损失。安全研究员曝光该事件为历史上第一起由 Vibe Coding 引发的链上安全事故,事件发生后,项目方下架相关合约,启动漏洞修复,并加强 AI 生成代码的人工审计环节。
• YieldBloxDAO 预言机操纵攻击
损失金额:约 1000 万美元
事件详情:2 月 21 日,Stellar 链上借贷协议 YieldBloxDAO 遭到黑客攻击,攻击者通过操纵底层流动性代币价格,利用预言机异常喂价实现恶意超额借贷,最终造成约 1000 万美元资产损失。事件发生后,项目方暂停协议服务,并联合安全机构开展资产溯源与漏洞修复工作。
• IoTeX 代币保险库私钥泄露攻击
损失金额:约 440 万美元
事件详情:2 月 21 日,IoTeX 生态 ioTube 跨链桥遭遇黑客攻击,攻击者通过获取以太坊侧验证者所有者私钥,成功入侵跨链桥相关合约,盗取池内各类加密资产。IoTeX 官方多次更新通报,确认此次攻击实际损失约 440 万美元,其中 99.5% 异常铸币已被拦截或永久冻结。事件发生后,项目方紧急暂停跨链桥及相关交易功能,启动主网版本升级,封禁 29 个恶意地址,并联合 FBI 及多国执法机构开展全球资产追踪,承诺对受影响用户 100% 全额赔付,目前已全面恢复运行。
• FOOMCASH 模仿攻击事件
损失金额:约 226 万美元
事件详情:2 月 26 日,Base 链和 Ethereum 链上的 FOOMCASH 项目遭遇模仿攻击(copycat attack),攻击者利用与此前 Veil Cash 事件类似的 zkSNARK 验证密钥配置错误(Groth16 验证器参数设置不当),成功伪造证明并盗取大量代币。其中,Base 链损失约 42.7 万美元,Ethereum 链损失约 183.3 万美元(部分资金疑似被白帽救援),总损失约 226 万美元。事件发生后,项目方紧急暂停相关服务,展开调查。
• Seneca DeFi 协议任意调用漏洞攻击
损失金额:约 650 万美元
事件详情:2 月 28 日,DeFi 协议 Seneca 因存在任意调用漏洞遭到黑客攻击,初步统计损失超 1900 枚 ETH,价值约 650 万美元。攻击发生后,标记为 SenecaUSD 黑客的地址已将 1537 枚 ETH(约 530 万美元)返还至 Seneca 部署者地址,剩余 300 枚 ETH(约 104 万美元)被转移至新地址,目前项目方正开展漏洞修复及资产核查工作。
Rug Pull / 钓鱼诈骗
典型安全事件8起
(1) 2 月 10 日,0x6825 开头地址的受害者在 BSC 上签署了一笔恶意的“increaseAllowance”交易,导致价值 118,785 美元的 BUSD 损失。大多数人会留意授权签名和批准请求,但“increaseAllowance”其实是同样的陷阱,只是名称不太常见。
(2) 2 月 17 日,地址中毒/相似收件人再次来袭。在以太坊上,0xce31...b89b 向错误的近似匹配地址发送了大约 599,714 美元。
预期:0x77f6ca8E...a346
错误:0x77f6A6F6...A346
(3) 2 月 18 日,0x308a 开头地址的受害者签署了恶意 USDT 批准 (approve(address,uint256)),导致约 337,069 美元的 USDT 转移到诈骗者钱包中。
(4) 2 月 18 日,一名受害者在复制受污染的转账历史记录后,向一个相似的地址发送了 15.7 万美元。
预期:0xa7a9c35a...03F0 → 发送至:0xa7A00BD2...03F0
(5) 2 月 25 日,0xb30 开头地址的受害者在以太坊上签署钓鱼令牌批准后损失了 388,051 美元。
(6)硬件钱包仿冒验证钓鱼诈骗
时间:2 月 12 日
事件性质:黑客伪造某主流硬件钱包官方验证页面,通过邮件、短信发送 “钱包安全风险预警”,诱导用户输入助记词、私钥进行 “安全验证”,成功获取多名用户的助记词,盗走账户内资产,累计损失约 95 万美元。
(7) 虚假 DEX 地址劫持 Rug Pull
时间:2 月 17 日
事件性质:黑客通过篡改用户转账地址、伪造 DEX 交易界面,诱导用户向虚假地址转账,待用户完成转账后,立即将资金归集至多个匿名地址,累计损失约 60 万美元 USDT,涉及受害者超 200 人,据监测,此次攻击单个受害者最高损失约 60 万美元。
(8) 假冒 Uniswap 官方钓鱼网站诈骗
时间:2 月 19 日 – 2 月 26 日
事件性质:黑客购买谷歌搜索广告,搭建与 Uniswap 官方界面高度一致的钓鱼网站,通过社交媒体广告、私信引流,诱导用户点击链接并完成授权,使用 AngelFerno 钱包清空工具批量窃取用户账户内的加密资产,部分受害者因虚假域名与真实网址视觉难以区分而受骗,单月受害者超 1000 人,累计损失约 180 万美元。
总结
2026 年 2 月区块链安全风险呈现合约攻击仍高发、诈骗手段持续精细化的特点。黑客攻击主要集中在预言机操纵、跨链桥安全、合约权限漏洞及代码缺陷等方向,漏洞复用与模仿攻击开始增多,对中小型协议威胁显著上升。
诈骗端依旧以钓鱼授权、虚假官网、资金盘跑路为主要手段,AI 仿冒页面与广告劫持进一步提升了诈骗隐蔽性,普通用户识别难度持续加大。
零时科技安全团队建议:个人用户谨慎授权、核对官方地址、远离不明链接与高风险项目;项目方应强化合约审计、私钥管理与权限隔离,重视预言机与跨链场景安全;行业层面加强威胁情报共享,提升全链条防御能力,共同维护生态安全。
