不是黑客入侵,是合约逻辑被合法利用
2026年5月7日,CertiK 发布紧急安全警报:约 587 万美元的预授权资金通过合约地址 0xeEeEEe53033F7227d488ae83a27Bc9A9D5051756 遭到盗取。
这起攻击的核心并非复杂的漏洞利用,而是一个设计缺陷:该合约存在一个任何人都可调用的公开函数,允许调用者将自己注册为「AllowedOrderSigner」(授权订单签名人)。攻击者利用这一机制,成功将自身注册为合法签名人,随后执行订单,将受害者地址中已授权的资金直接转走。
预授权的隐性风险:你批准的不只是当下
此类攻击再次揭示了 DeFi 生态中预授权机制的系统性风险。当用户向某个合约授予 ERC-20 代币的转移权限时,这一授权通常长期有效,直到用户主动撤销。一旦合约本身存在逻辑缺陷或被恶意利用,攻击者无需获取用户私钥,即可通过合约调用合法转移资产。
本次事件中,受害者资金损失的根本原因,不在于钱包被盗,而在于此前对存在缺陷合约的授权从未被清理。
立即行动:撤销授权是当前最紧迫的操作
CertiK 已明确提醒所有曾与该合约交互的用户:立即撤销对该漏洞合约的全部授权,以防止进一步资产损失。用户可通过 revoke.cash 等工具检查并批量撤销存量授权。
对于 DeFi 平台与合规团队而言,此类授权滥用攻击的链上特征往往具有可识别的模式。Trustformer KYT 可实时监控异常授权调用与批量转账行为,帮助平台在资产被大规模转移前发出风险预警,将损失控制在最小范围。