新聞 
幣種資訊 
關於我們 
根據 Blockade 和 Hexagate 的監控發現,IPOR Labs 部署於以太坊擴展網路 Arbitrum 上的一座 USDC 金庫於 1 月 6 日(當地時間)遭駭客入侵,造成約 33.6 萬美元(約新台幣 1,070 萬元)的資金損失。該事件的成因為駭客巧妙結合舊版智慧合約中的漏洞,與最近以太坊網路升級後新增的「委任執行」功能,發動精密攻擊。
駭客鎖定的是 IPOR Labs 先前部署的一個老舊金庫,其內部使用的「Fuse(熔斷模組)」尚未導入驗證機制,意即合約未能正確判別 Fuse 的合法性,使管理者專屬的設定權限遭竊取。攻擊者隨後透過以太坊升級引入的 EIP-7702 委任功能,偽裝成管理者執行包含「Arbitrary Call(任意呼叫)」的委任交易,最終將金庫內資產轉移至個人地址。
根據 CertiK 的鏈上分析,盜取資產經跨鏈橋轉出至以太坊主網後,進一步透過 Tornado Cash 混幣器處理,提升資金流向的匿名性。評論:Tornado Cash 雖為鏈上隱私工具,但已因賦予駭客清洗資金的手段,成為鏈上安全監控與監管的挑戰焦點。
IPOR Labs 指出,此攻擊僅針對兩座老版本金庫中的一座發起,目前平台所有新版金庫已全面實施 Fuse 驗證與委任機制強化措施,排除類似風險。平台治理組織 IPOR DAO 也承諾,全額補償受害者損失,金額約佔整體資產不到 1%,並正與 SEAL 等鏈上安全公司合作追蹤資金流向,並透過交易所協助回收資產。
根據區塊鏈安全機構 PeckShield 公布的數據,2025 年 12 月加密貨幣領域遭駭損失約為 7,600 萬美元,月減約 60%,但進入 2026 年後駭客攻擊再度升溫。其中最受關注的事件之一為帳戶管理工具 Trust Wallet 的聖誕節供應鏈攻擊事件,駭客透過惡意 npm 套件竊取開發者錢包資訊,自超過 2,500 個錢包竊得近 700 萬美元資產,包括比特幣(BTC)、以太幣(ETH)、Solana(SOL)。
評論:越來越多攻擊者趨向結合新技術與人為疏失發動攻擊,顯示單純信賴智慧合約自身無法杜絕風險。Immunefi 執行長 Mitchell Amador 指出,「系統代碼愈來愈安全,但營運習慣與使用者行為反而成為漏洞主因。」
這起事件再次凸顯 DeFi 領域於導入以太坊新標準如 EIP-7702 時,需同步強化驗證與監控體系。對於用戶而言,使用去中心化金融服務時,理解合約邏輯、權限設定與功能呼叫方式,將是保護資產不可或缺的重要步驟。
關鍵詞:以太坊、新功能、金庫攻擊、智慧合約漏洞、安全漏洞、Tornado Cash、EIP-7702、Fuse 模組、Arbitrum、IPOR Labs
留言 0