不是智能合约漏洞,是你遗忘的那次授权
2026年5月6日,Starknet 生态 DEX 协议 Ekubo 发布紧急安全警报:其 EVM 链上的交易路由合约存在安全漏洞。值得注意的是,流动性提供者和 Starknet 原生用户不受影响——受害者是那些曾对该合约进行过代币无限授权的普通用户。
慢雾创始人余弦随后披露了攻击的技术细节:攻击者通过合约的 payCallback 机制,将曾对该合约进行过无限额度授权的用户指定为支付方,从而调用 WBTC 的 transferFrom 函数,将受害者资产直接转走。整个攻击共执行 85 次操作,每次精准抽取 0.2 枚 WBTC,单一用户地址 0x765DEC 累计损失达 17 枚 WBTC。
payCallback 机制:一个被滥用的合约功能
payCallback 本是 DeFi 协议中用于回调支付的常见设计,本身并非恶意。但当攻击者能够将任意地址指定为"支付方"时,任何持有该合约无限授权的用户,都将在不知情的情况下成为被动付款人。
这一攻击路径的隐蔽性在于:受害者账户并未被直接入侵,私钥也未泄露,是用户自己曾经点击的那个"Approve"按钮,在数月甚至数年后成为了攻击的入口。
Revoke Approvals 不是建议,是必做项
Ekubo 官方已建议所有用户立即撤销相关合约授权,并提示正在调查波及范围。这再次证明,定期清理钱包授权是用户资产安全的基础操作,而非可选项。
对于 DeFi 平台与合规团队,此类授权滥用攻击同样构成链上风险监控的重要场景。Trustformer KYT 可实时检测异常批量转账模式,帮助平台在攻击扩散前及时预警,保护用户资产安全。