Extropy報導2026年1月重大加密貨幣駭客事件。Truebit損失2600萬美元,Ledger資料外洩曝光用戶,釣魚攻擊激增。
2026年前兩週在Web3平台引發了一波安全事件浪潮。
Extropy發布了其安全快訊報告,記錄了這些事件。調查結果展現了當前威脅格局的令人擔憂畫面。
根據報告,攻擊者在假期期間持續進行攻擊。損失範圍從數百萬美元的漏洞利用到高階釣魚攻擊不等。
今年的第一起重大事件發生在1月8日的Truebit協議。攻擊者利用所謂的“殭屍程式碼”漏洞,耗盡約$26 百萬美元。
此漏洞源於遺留智能合約中的整數溢出問題。這些較舊的合約缺乏現代Solidity的原生溢出保護。攻擊者幾乎不用成本就鑄造了數百萬TRU代幣。
一旦產生,這些代幣迅速湧回協議。所有可用的流動性在數小時內消失。TRU代幣價格在24小時內幾乎崩盤100%。
Extropy指出,攻擊者立即通過Tornado Cash轉移了8,535 ETH。安全公司後來將該錢包鏈結到之前Sparkle Protocol的漏洞,顯示出一個專門針對廢棄合約的重犯。
報告警告,遺留合約仍是關鍵漏洞。項目方必須積極監控或棄用舊有程式碼。
1月5日至7日,TMXTribe遭遇較慢但同樣毀滅性的攻擊。Arbitrum上的GMX分叉在36小時內損失了$1.4百萬。
Extropy描述此漏洞利用相當簡單。攻擊者透過迴圈鑄造LP代幣,將其兌換成穩定幣,然後反覆解除抵押。未經驗證的合約阻礙了公開分析確切的漏洞。
研究人員最擔憂的是團隊的反應。根據報告,開發者在攻擊期間一直在鏈上活躍,部署新合約並進行升級。
然而,他們從未觸發緊急暫停功能。團隊反而向攻擊者發送了鏈上賞金訊息,但攻擊者忽略了,將資金橋接到以太坊並通過Tornado Cash洗錢。
Extropy質疑這是否代表疏忽或更糟的情況。報告強調,未經驗證的合約是用戶的危險信號。
在一月的前幾天,我們已經見證了Web3失敗模式的全譜:殭屍合約印鈔票、治理變成內戰、未驗證分叉慢動作出血、供應鏈漏洞使用戶面臨實體風險、釣魚攻擊成武器…… https://t.co/ev1flKir3D
— Extropy.io (@Extropy) 2026年1月13日
1月5日,Ledger確認其客戶資料遭到資料外洩。此次外洩源自支付處理商Global-e,而非Ledger的硬體。
用戶姓名、運送地址和聯絡資訊被竊取。Extropy警告,這造成了所謂的“扳手攻擊”情境。攻擊者現在擁有一份加密硬體錢包持有者及其位置的名單。
報告指出一個令人苦澀的諷刺。Ledger此前曾因收費安全功能而受到批評。如今,他們的支付處理商卻讓用戶面臨實體危險,且毫無成本。
Extropy建議用戶預期會有更高階的釣魚攻擊。被盜資料使攻擊者能透過個人化的通訊建立假信任。
相關閱讀: Ledger硬體錢包周邊安全事件彙整
安全研究員ZachXBT指出一個高階釣魚行動,目標是MetaMask用戶。該活動已從數百個錢包中竊取超過$107,000。
受害者收到專業的電子郵件,聲稱需要進行2026年的強制升級。訊息使用了合法的行銷模板,並配有經修改的MetaMask標誌。Extropy描述這個“派對帽”狐狸設計令人感到意外的節日氣氛。
詐騙沒有要求提供種子短語,而是誘使用戶簽署合約授權。這使攻擊者能從受害者錢包中轉移無限代幣。
由於每次盜竊金額都控制在$2,000以下,詐騙行動避免了重大警示。Extropy強調,簽名的危險性與洩露的私鑰一樣大。
