2026-01-01 05:12:36 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档综述了12月三大区块链安全攻击事件，总损失约2000万美元。YearnFinance因不安全数学运算及废弃合约漏洞损失930万美元；TrustWallet浏览器扩展遭供应链攻击植入后门致700万美元被盗；RibbonFinance因预言机权限控制漏洞被操纵价格损失270万美元。建议加强智能合约审计、严格权限管理及供应链安全，并采用实时监控工具防范风险。 综合评分： 88 文章分类： 区块链安全,漏洞分析,安全大事件,解决方案

cover_image

十二月三大攻击事件，总损失达两千万美元

原创

区块链

BlockSec

2025年12月31日 12:03 浙江

12月 TOP 3 攻击事件一览

Yearn Finance: 900万美元

12 月 1 日，Yearn Finance在以太坊链上的 yETH 池遭到攻击，损失超过 900 万美元。在安全团队的协助下，事发当天Yearn Finance成功追回了约 239 万美元（857.49 pxETH），挽回了部分损失：https://x.com/yearnfi/status/1995488425785659492

攻击利用的漏洞存在于 _calc_supply() 函数中。该函数在计算新供应量近似值时使用了迭代方法，运算过程使用的 unsafe math 运算导致了舍入和下溢。尽管漏洞看似简单，攻击者通过一系列复杂的攻击步骤才得以利用，将池子的供应量操纵归零，随后从中获利。

事件发生 16 天后，同项目方旧版本 (iEarn) 中的一个废弃合约遭到攻击。本次攻击利用了已知的配置错误漏洞，该漏洞曾于 2023 年被攻击利用过。第二次攻击造成了30 万美元的损失，使该协议当月因攻击累计损失接近千万。

官方事件分析报告：https://github.com/yearn/yearn-security/blob/master/disclosures/2025-12-01.md

Trust Wallet: 700万美元

12 月 25 日，Trust Wallet 的 Chrome 浏览器扩展程序 (v2.68) 发生严重安全漏洞，导致约 700 万美元的用户资金被盗：https://x.com/TrustWallet/status/2004316503701958786

据推测，攻击者针对开发团队展开了复杂的社交工程攻击，将恶意后门植入插件代码。该后门会将用户助记词上传至攻击者控制的服务器，导致所有在该版本插件上生成或导入的助记词泄露。攻击者随后掏空了多条链上受影响账户的资金，并通过NO KYC的交易所转移赃款。

事件发生后，Trust Wallet 团队发布了紧急更新并承诺对受影响用户进行补偿。此次事件再次敲响了警钟：安全必须贯穿协议的整个生命周期。除了链上代码审计，保护线下基础设施和保持持续监测对于保障资产安全同样至关重要。

事件解析：Trust Wallet 插件钱包用户700万美金被盗事件解析

Ribbon Finance: 270万美元

12 月 12 日，以太坊上的 Ribbon Finance 遭遇攻击，造成损失约 270 万美元：https://x.com/ribbonfinance/status/1999815546007584817

根本原因为其预言机合约中 setAssetPricer() 函数的权限控制漏洞，允许任何人恶意设置资产价格。攻击者采取了“长线”攻击策略：首先设置一个看似正常的预言机以躲避监测（因为该协议仅按周结算期权）。在购入看涨期权头寸后，攻击者等到行权日才升级合约，将正常预言机替换为恶意预言机。通过人为抬高资产价格，攻击者最终行权并套取巨额利润。

此次事件再次强调，权限控制是智能合约安全中的关键环节，单个特权函数的疏忽就可能使协议面临重大风险。在部署前进行全面的安全审计，检查所有管理功能，对于识别和解决此类漏洞至关重要。

以上内容基于截至 12月30日0:00（UTC）的数据。

使用 Phalcon Security APP防范DeFi攻击

面对频发的DeFi安全威胁，BlockSec Phalcon 为协议提供实时监控和自动阻断能力。

已有500亿美元资产在Phalcon保护下安全运行。

我们成功阻止了20+真实世界的黑客攻击，挽救了超过2000万美元的资产。想知道如何用 Phalcon Security 防范这类 DeFi 攻击？点击下方视频号，get 详细教学内容，快速掌握安全防护核心技巧👇

点击文章左下角「阅读原文」或访问下方链接，10秒完成预约，前30位预约用户可申请免费试用！

🔗 访问官网：

https://blocksec.com/phalcon/security

🔗 预约演示：

https://blocksec.com/expert-contact

参考链接

Yearn Finance

Phalcon‘s twi post:

https://x.com/Phalcon_xyz/status/1995430697478361268
Official post-mortem: https://github.com/yearn/yearn-security/blob/master/disclosures/2025-12-01.md
Partial recovery: https://x.com/yearnfi/status/1995488425785659492
Attack transaction: https://app.blocksec.com/explorer/tx/eth/0x53fe7ef190c34d810c50fb66f0fc65a1ceedc10309cf4b4013d64042a0331156
iEarn vulnerability in 2023: https://x.com/yearnfi/status/1646436798086672385

Trust Wallet

Trust Wallet’s Official announcement: https://x.com/TrustWallet/status/2004316503701958786
Twi Link with fund flow and compliance report: https://x.com/MetaSleuth/status/2004475257621729410
MS Fundflow Link: https://metasleuth.io/result/eth/0x3b09a3c9add7d0262e6e9724d7e823cd767a0c74?source=c723b0c4-7610-47a2-815c-bd9cf02953f4

Ribbon Finance

Official announcement: https://x.com/ribbonfinance/status/1999815546007584817

关于BlockSec

BlockSec 是全球领先的区块链安全公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，并提供一站式安全服务，包括安全审计服务、安全与合规管理平台 BlockSec Phalcon、资金追踪调查平台 MetaSleuth 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

Phalcon: https://blocksec.com/phalcon

BlockSec #每月安全速递

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec 区块链《十二月三大攻击事件，总损失达两千万美元》