Web3混乱重创:2026年仅两周内数百万资金被盗 – 报告

Extropy 报告2026年1月发生重大加密货币黑客攻击事件。Truebit 损失2600万美元,Ledger 数据泄露暴露用户信息,网络钓鱼攻击激增。

2026年头两周给 Web3 平台带来了一波安全事件。 

Extropy 发布了记录这些事件的安全字节报告。调查结果描绘出当前威胁形势的令人担忧景象。

根据报告,攻击者在假日季节期间持续进行操作。损失范围从数百万美元的漏洞利用到复杂的网络钓鱼活动。

Truebit 协议因遗留代码漏洞损失2600万美元

今年首个重大事件在1月8日袭击了 Truebit 协议。攻击者在 Extropy 所称的"僵尸代码"漏洞利用中抽走了约2600万美元。

该漏洞源于遗留智能合约中的整数溢出。这些旧合约缺乏现代 Solidity 的原生溢出保护。攻击者几乎零成本铸造了数百万个 TRU 代币。

一旦创建,代币便回流到协议中。所有可用流动性在数小时内消失。TRU 代币价格在短短24小时内暴跌近100%。

Extropy 指出,攻击者立即通过 Tornado Cash 转移了8,535个 ETH。安全公司后来将该钱包与之前的 Sparkle Protocol 漏洞利用联系起来。这表明是一名专门针对废弃合约的惯犯。

报告警告,遗留合约仍然是一个关键漏洞。项目必须主动监控或弃用旧代码。

TMXTribe 在36小时内眼睁睁看着140万美元被抽走

在1月5日至1月7日之间,TMXTribe 遭受了一次较慢但同样具有毁灭性的攻击。这个在 Arbitrum 上的 GMX 分叉在连续36小时内损失了140万美元。

Extropy 将该漏洞利用描述为机械上简单。一个循环铸造 LP 代币,将其交换为稳定币,然后重复解除质押。未经验证的合约阻止了公众对确切漏洞的分析。

最令研究人员困扰的是团队的反应。根据报告,开发人员在整个攻击期间在链上保持活跃。他们在资金流失期间部署了新合约并执行了升级。

然而,他们从未触发紧急暂停功能。团队反而向攻击者发送了链上赏金消息。窃贼无视它,将资金桥接到以太坊,并通过 Tornado Cash 洗钱。

Extropy 质疑这是代表疏忽还是更糟的情况。报告强调未经验证的合约对用户来说是危险信号。

Ledger 客户面临物理安全风险

1月5日,Ledger 确认了影响其客户群的数据泄露。泄露源自支付处理商 Global-e,而非 Ledger 的硬件。

客户姓名、收货地址和联系信息被泄露。Extropy 警告这造成了安全专家所谓的"扳手攻击"场景。攻击者现在掌握了加密硬件钱包所有者及其位置的名单。

报告指出了一个痛苦的讽刺。Ledger 此前因收取安全功能费用而面临批评。现在他们的支付处理商却免费将用户暴露于物理危险中。

Extropy 建议用户预期会有复杂的网络钓鱼尝试。被盗数据允许攻击者通过个性化通信建立虚假信任。

相关阅读:Ledger 硬件钱包安全事件汇总

MetaMask 网络钓鱼活动抽走10.7万美元

安全研究员 ZachXBT 标记了一项针对 MetaMask 用户的复杂网络钓鱼操作。该活动已从数百个钱包中抽走超过10.7万美元。

受害者收到声称2026年强制升级的专业电子邮件。这些消息使用了合法的营销模板,并带有修改过的 MetaMask 标志。Extropy 将"派对帽"狐狸设计描述为令人放松警惕的节日气氛。

该骗局避免要求助记词。相反,它提示用户签署合约批准。这允许攻击者从受害者钱包中转移无限数量的代币。

通过将个人盗窃保持在2,000美元以下,该操作避免了重大警报。Extropy 强调签名可能与泄露的密钥一样危险。

文章 Web3 混乱重创:2026年仅两周内数百万美元被抽走 – 报告 首次出现在 Live Bitcoin News。