文章总结： 本文分析2026年1月三起重大攻击事件，总损失超五千万美元。Truebit因整数溢出损失2600万，SwapNet与Aperture因参数校验缺失损失1700万，Saga因继承代码漏洞损失700万。核心风险在于老旧编译器、未开源代码及继承漏洞，建议升级版本、加强验证，并利用BlockSecPhalcon进行监控阻断。 综合评分： 85 文章分类： 漏洞分析,安全大事件,区块链安全

一月3大黑客攻击事件，造成损失达五千万美金

原创

BlockSec BlockSec

BlockSec

2026年1月30日 12:00 浙江

1月 TOP 3 攻击事件一览

Truebit协议：约2600万美元

2026年1月8日，以太坊上的Truebit协议遭遇攻击，导致损失约2600万美元。

攻击的根本原因是受攻击合约的购买TRU代币定价逻函数中存在整数溢出漏洞。合约使用Solidity v0.6.10编译，默认情况下不强制执行溢出检查。攻击者精心构造输入参数，导致购买成本计算过程中的一个大型中间值发生算术溢出，回绕到一个极小的数字，参与购买成本的计算。最终以极低成本甚至零ETH成本购买大量TRU代币。

攻击者在一笔攻击交易中进行了多轮套利，重复执行买入和卖出TRU代币操作进行攻击利用。值得注意的是，协议在买入卖出的逻辑上特意设计了定价的不对称性，以防止即时的买入->卖出套利行为。然而受攻击的合约本身部署于约四年前，使用过时Solidity版本编译，未实现溢出检查，暴露了攻击面，最终致使2600万美元的储备金被抽干。

更多技术细节请参阅我们的深度分析报告：https://blocksec.com/blog/in-depth-analysis-the-truebit-incident

SwapNet & Aperture: 约1700万美元

2026年1月25日，SwapNet和Aperture协议因相同漏洞遭受攻击，总损失约1700万美元。由于此次事件，大量Matcha Meta用户受到影响，涉及资金超过1300万美元。

虽然受影响的合约并未开源，但我们通过反编译字节码和链上交易追踪重建了攻击路径，确定根本原因是漏洞函数对关键的用户输入参数缺乏严格验证，允许攻击者指定参数进行任意调用。在一系列攻击交易中，攻击者精心构造了ERC20代币的transferFrom()调用，盗取了此前向漏洞合约预授权 (approve) 的用户资金。

此次攻击中涉及的两个协议都并未开源其代码，这使得通过社区审查更难发现合约中存在的漏洞。同时,基于授权 (allowance) 机制的攻击手法也提醒用户需谨慎管理代币授权，协议方则应实施时间锁定或限额授权等防护机制。

请查阅我们对事件的深度技术分析：https://mp.weixin.qq.com/s/QbtDqF_twQvmPQ1SV2E9nw

Saga: 约700万美元

2026年1月21日，Saga生态的SagaEVM遭遇安全攻击，导致代币被非法铸造，造成约700万美元的损失: https://x.com/phalcon_xyz/status/2014026567043916033?s=46

虽然攻击的根本原因尚未完全公开，但官方已确认，Ethermint和CosmosEVM代码中存在的一个漏洞，其代码被SagaEVM继承，最终导致了此次攻击。攻击者在SagaEVM链上部署了恶意智能合约，利用漏洞铸造了大量Saga Dollars代币并换出。攻击得手后，被盗资金迅速通过跨链桥转移至以太坊网络。

此次事件凸显了代码继承在区块链生态中的潜在风险。当基础代码库存在安全漏洞时，所有继承该代码的项目都可能面临相同风险，形成连锁的安全隐患。

使用 Phalcon Security APP防范DeFi攻击

面对频发的DeFi安全威胁，BlockSec Phalcon 为协议提供实时监控和自动阻断能力。

已有500亿美元资产在Phalcon保护下安全运行。

我们成功阻止了20+真实世界的黑客攻击，挽救了超过2000万美元的资产。想知道如何用 Phalcon Security 防范这类 DeFi 攻击？点击下方视频号，get 详细教学内容，快速掌握安全防护核心技巧👇

点击文章左下角「阅读原文」或访问下方链接，10秒完成预约，前30位预约用户可申请免费试用！

🔗 访问官网：

https://blocksec.com/phalcon/security

🔗 预约演示：

https://blocksec.com/expert-contact

关于BlockSec

BlockSec 是全球领先的区块链安全和合规公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，提供一站式安全服务，包括智能合约/链/钱包安全审计服务、协议安全和数字货币合规(AML/CFT)平台 Phalcon Security / Phalcon Compliance / Phalcon Network、资金追踪调查平台 MetaSleuth 和区块链交易分析工具 Phalcon Explorer 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

推荐阅读👇

BlockSec

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec BlockSec BlockSec《一月3大黑客攻击事件，造成损失达五千万美金》