# 漏洞利用的所有文章

在 HTX 新聞中心流覽與「漏洞利用」相關的最新資訊與深度分析。潘蓋市場趨勢、專案動態、技術進展及監管政策，提供權威的加密行業洞察。

这年头，连黑客都亏钱

2025年9月，Web3社交平台UXLink的多签钱包遭黑客攻击，损失超1130万美元。黑客利用delegateCall漏洞篡改合约权限，盗取大量USDT、USDC、WBTC、ETH及UXLINK代币，并恶意砸盘导致币价暴跌70%。令人意外的是，黑客未按常理通过混币工具隐匿资产，反而将资金投入去中心化交易所CoW Swap进行频繁交易。半年内累计操作625笔，但交易表现拙劣，一度浮亏超480万美元。其操作模式类似散户：低点加仓、死扛波动，直至成本线附近才离场。尽管后期部分ETH交易实现盈利，但WBTC持仓仍大幅亏损。链上分析平台全程追踪其动向，黑客如同身处“透明监狱”。UXLink虽完成补偿与合约更新，但代币价格较峰值跌去99%，生态重建艰难。事件揭示熊市公平性：即便技术高超盗取资产，市场波动仍对所有人一视同仁。

marsbit03/25 05:23

marsbit03/25 05:23

除Resolv被黑外，这种DeFi漏洞类型已出现过四次

在周日早晨的17分钟内，一名攻击者利用Resolv协议漏洞将10万美元变成2500万美元。该漏洞并非代码错误，而是系统设计缺陷：攻击者通过获取Resolv的AWS密钥管理权限，授权自己铸造了8000万枚本应与美元挂钩的稳定币USR，导致其价格暴跌至0.25美元。此次事件引发连锁反应：借贷平台Fluid/Instadapp产生超1000万美元坏账，单日净流出资金超3亿美元，Morpho、Euler等多个协议受影响。核心问题在于，这些平台使用的预言机仍将已脱锚的USR及其衍生品wstUSR硬编码为1美元定价，使得攻击者可在市场上购买低价代币，再以虚高价格抵押借贷并套现。这是过去14个月内第四起类似事件，暴露出DeFi领域反复出现的风险模式：收益型稳定币在借贷市场中依赖静态预言机定价，一旦脱锚即引发系统性风险。Curator（策略管理方）因依赖收益分成而缺乏足够风控动力，协议层也缺乏实时链下监测机制。专家指出，问题不在智能合约本身，而在于更广泛的系统设计与链下基础设施的脆弱性。

marsbit03/24 12:09

marsbit03/24 12:09

Resolv漏洞利用引发USR脱锚，8000万美元无抵押铸币事件

Resolv协议因私钥泄露遭遇攻击，黑客未经授权增发了约8000万美元的无抵押USR稳定币，导致其严重脱锚，价格暴跌56%至0.19美元。事件并未直接盗取协议抵押资产，但大幅稀释了稳定币的抵押支撑，总供应量从1.02亿激增至约1.73亿。团队已暂停合约并销毁900万攻击者持有的USR，目前正与执法部门追踪剩余非法代币。协议将优先允许白名单用户按1:1比例赎回原有USR，并强调底层抵押资产（约1.41亿美元）未受损失。此事件暴露了依赖链下权限控制的系统性风险，市场信心严重受挫。

ambcrypto03/23 17:47

ambcrypto03/23 17:47

盗窃只是开始：黑客攻击背后的慢崩塌

加密货币黑客攻击不仅是瞬间的资金损失，更会引发项目的长期崩溃。根据Immunefi的报告，单次攻击平均直接损失约2500万美元，但后续影响更为严重：代币价格在六个月内中位数暴跌61%，84%的代币无法恢复被盗前价格。项目需花费至少三个月进行修复，导致开发停滞、合作方撤离、人才流失。 2024-2025年共发生191起攻击，总金额46.7亿美元。虽然中位数损失从450万美元降至220万美元，但极端攻击集中度高：前五名事件占总损失的62%，如Bybit单次损失15亿美元。中心化平台仍是重灾区，20起中心化交易所攻击占损失总额的54.6%。报告指出，DeFi生态的互联性加剧了风险传导，而代币长期下跌直接冲击项目运营基础。黑客攻击已成为一场长尾危机，真正决定项目存亡的是盗窃后持续的缓慢崩塌——资金缩水、信誉受损和生态信任瓦解。

比推03/23 14:24

比推03/23 14:24

用 20 万换出近 1 个亿，DeFi 稳定币再遭攻击

Resolv Labs 发行的稳定币 USR 遭黑客攻击，攻击者通过控制协议后端的 SERVICE_ROLE 权限，用 20 万枚 USDC 恶意铸造了近 8000 万枚 USR，导致 USR 价格一度跌至 0.25 美元。黑客随后将 USR 兑换为 USDC、USDT 并买入超 1 万枚 ETH，获利超 2000 万美元。事件原因在于协议在铸造 USR 时完全信任后端提供的参数，未设置铸造上限且未进行链上预言机二次验证。此外，协议暂停机制存在缺陷，需多签且耗时较长，延误了应对时机。此次事件再次警示 DeFi 项目需加强权限管理和紧急响应能力，并对所有关键环节进行多重验证。

marsbit03/22 09:47

marsbit03/22 09:47

BONK.fun在域名劫持后重新上线，确认损失3万美元

BONK.fun 在遭遇域名劫持后已恢复网站运营，确认因第三方服务商被社工攻击导致域名被转移，造成用户损失约3万美元。团队强调内部系统、代码库及账户均未受影响，事件属于外部基础设施漏洞而非协议问题。攻击者通过钓鱼界面诱导用户签署恶意交易，最初损失预估为2.3万美元，后修正为3万。平台承诺以110%比例赔偿用户损失（含机会成本）。域名于3月18日恢复，功能于19日全面正常。部分安全软件仍标记原域名，建议用户使用备用域名访问。BONK代币价格持续疲软，交易价约0.0000059美元。事件凸显第三方服务是加密平台的主要风险点。

ambcrypto03/20 21:01

ambcrypto03/20 21:01

ROBO空投引发审查，800万美元与疑似女巫钱包有关

Fabric Protocol的ROBO代币空投活动被质疑存在女巫攻击。区块链分析平台Bubblemaps指出，约7000个具有相似交易模式的钱包疑似由单一实体控制，这些钱包共获取了1.99亿枚ROBO代币（占空投总量的40%），价值约800万美元。这些钱包在代币发行前两个月被创建，以近乎相同的ETH金额进行资金准备，并通过三层中间钱包转移资金后最终申领空投。至少七家交易所参与了资金流转，其时间、来源和流向的高度一致性表明这是有组织的操作。目前没有证据表明项目团队参与其中。尽管消息曝光后ROBO价格短期仍上涨约14%（现报0.025美元），但大量代币集中在少数钱包可能带来未来抛压。该事件再次暴露了空投机制的设计漏洞，行业需加强反女巫攻击措施。

ambcrypto03/20 16:57

ambcrypto03/20 16:57

BNB链上Venus Protocol遭遇360万美元漏洞利用事件内幕

BNB Chain上的借贷协议Venus Protocol遭遇攻击，损失约360万美元。攻击者通过数月积累占流通量84%的THE代币（约1450万枚），并利用其薄弱的链上流动性进行操纵。通过重复抵押THE、借入其他资产并循环购买更多THE，攻击者将代币预言机价格推高367%，最终超额借贷套取资产。 Venus团队已暂停THE市场并实施更严格的抵押标准，将比特币现金、莱特币等六种资产列为高风险标的。这是该协议继2025年9月被钓鱼攻击损失2700万美元后的又一次安全事件，但协议总锁仓量仍稳定在14.7亿美元附近。

ambcrypto03/16 09:22

ambcrypto03/16 09:22

复盘Venus THE攻击：如何在瞬间窗口中获利？

Venus协议遭遇针对低流动性代币THE的价格操纵攻击。攻击者抵押THE借出其他资产，再用借出资金持续买入THE以拉高价格，待预言机更新后获得更高抵押价值并循环借贷。由于THE链上流动性极差，价格从$0.27被拉至近$5。攻击者还通过向vTHE合约“捐赠”THE突破供应限制，进一步放大杠杆。然而，攻击者过度推高价格后遭遇巨大市场抛压，抵押品流动性严重不足，仓位濒临清算。作者在清算阶段做空THE，因估值虚高、流动性匮乏且抛压巨大，价格最终回落至$0.24以下，获利约1.5万美元。攻击者可能未获利甚至亏损，而Venus协议产生约200万美元坏账。事件再次表明，DeFi中抵押品的名义价值不等于可清算价值，低流动性资产在极端情况下无法被市场有效承接。

marsbit03/16 08:36