币搜网报道:
IPOR Fusion Vault 遭黑客攻击:33.6 万美元 USDC 在 Arbitrum 中被盗,DAO 将予以赔偿
精彩片段
-
恶意交易攻击了 Arbitrum 上的 IPOR Fusion Vault Hack,导致 336,000 美元 USDC 损失。
-
此次漏洞攻击影响了 Fusion 总资金的不到 1%;其他金库仍然安全。
-
IPOR DAO 将全额赔偿受影响的储户,同时与安保公司合作追回资金。
发生了什么?
2026年1月6日,团队收到警报,称Arbitrum平台上的USDC Fusion Optimizer Vault金库出现可疑交易。经快速调查,确认此次攻击导致某个旧版金库中价值33.6万美元的USDC被盗。所幸,损失仅占Fusion总资金的一小部分,其他金库未受影响。
Hexagate 和 Blockaid 等安全公司能够通力合作,帮助及早发现此次事件,而 SEAL 正在协助进行恢复工作。此次攻击表明,即使是传统智能合约的微小配置错误也可能导致严重的安全漏洞。
来源:
攻击是如何进行的?
这次漏洞是由于老式金库中存在着一种完美无瑕的脆弱性造成的:
-
金库逻辑错误:受影响的金库的 instantWithdraw 方法缺少验证。这导致未经身份验证的熔丝(执行取款操作的逻辑模块)能够运行任意代码。
-
管理员账户委托(EIP-7702):管理员账户将其权限委托给一个合约,该合约具有允许任意调用的功能。攻击者利用这一点欺骗金库,使其误以为交易已获批准。
-
恶意熔丝注入:攻击者利用这些权限注入了一个恶意熔丝。由于熔丝验证缺失,该熔丝能够提取资产,导致 336K USDC 被转移到攻击者的地址。
来源:X
这个保险库为何存在漏洞
此次攻击针对的是一个遗留系统,该系统部署于实施更严格的熔丝验证策略之前约 490 天。存在漏洞的 EIP-7702 委托合约被应用于少量较旧的熔丝库。较新的熔丝库具有更严格的验证机制,因此可以防止类似的攻击。
简而言之,缺乏适当的验证和滥用委托造成了一种特殊的漏洞,这种漏洞在其他保险库中是无法复制的。
IPOR对此有何回应?
团队迅速采取行动,确保存款安全:
-
追回工作:我们将与 Hexagate、Blockaid 和 SEAL 合作,监控并可能追回被盗资金。
-
补偿:IPOR DAO 国库将承担损失,所有受影响的储户将获得全额补偿。
-
安全保障:Fusion Vault 的其余部分不受影响,是安全的。
IPOR 还承诺发布一份关于此次事件的调查报告,说明其原因以及正在采取的预防措施。
现在是什么?未来又将如何?
尽管直接影响已经包含在内,但此次事件提醒我们,使用传统智能合约存在风险。存在一定的风险。
未来,IPOR可能会在验证、审查委托程序方面更加严格,并将与安全公司保持密切合作,以消除此类漏洞。
结论
IPOR Fusion漏洞虽然很小,但却具有启发意义。:由于旧的配置错误,导致损失了 33.6 万美元,DAO 全额退款,这凸显了智能合约安全方面持续存在的风险。
免责声明:本文并非投资建议。投资前请务必自行研究。CoinGabbar 对任何财务损失概不负责。加密资产波动性极高,您可能会损失全部投资。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
