Alchemix 用戶因代幣授權漏洞損失 100 萬美元

根據鏈上安全公司 PeckShield 的消息，一名 Alchemix 協議用戶在攻擊者利用之前授權的惡意合約後，損失了價值約 100 萬美元的收益型代幣。PeckShield 最先發現了這一事件。此次攻擊針對的是該用戶的 yvWETH 倉位，為去中心化金融（DeFi）中與代幣授權相關的安全風險敲響了昂貴的警鐘。

「黑客之所以能夠得逞，是因為用戶預先授權了一個惡意合約 (0x143a)，」PeckShield 分析師在 X 平台上發文稱。「該合約包含一個任意調用執行漏洞，攻擊者利用該漏洞轉移了用戶的全部倉位。」

該漏洞並不存在於 Alchemix 或 Yearn Finance 協議本身，而在於用戶與另一個獨立惡意合約的交互。通過授予該合約使用其代幣的權限，用戶創造了一個安全漏洞，攻擊者隨後利用該漏洞抽走了資金。此類漏洞利用已成為 DeFi 中反覆出現的主題，用戶通常會為了與各種應用程序交互而授予廣泛的權限。

這一事件凸顯了一個關鍵的、用戶側的安全挑戰，這已超出了主要協議的代碼審計範疇。儘管加密安全的大部分關注點集中在協議層漏洞利用或物理上的「扳手攻擊」上，但最大且最持續的損失來源通常源於錢包管理意識和用戶錯誤，包括網絡釣魚和過時的授權。

代幣授權仍是涉及 7 億美元的嚴峻問題

代幣授權是以太坊等鏈上 DeFi 的基礎部分，允許智能合約在交易、質押或借貸等活動中與用戶的資產進行交互。然而，如果授權未被撤銷，它將無限期保持激活狀態，從而形成一個永久的「准許證」，惡意或被攻破的合約可以利用它。僅從去中心化應用（dApp）前端斷開錢包連接並不能撤銷這些鏈上權限。

根據安全公司 CertiK 的 2025 年報告，網絡釣魚攻擊（包括惡意授權這一類別）造成的損失近 7.23 億美元。Alchemix 事件是這一風險維度的直接例證。它強調了勤勉管理錢包的必要性，而這一實踐往往被專注於流動性挖礦或交易的用戶所忽視。

安全最佳實踐建議採用多錢包方法：一個用於長期存儲、極少與 dApp 交互；一個單獨的「熱錢包」用於日常活動；以及第三個用於新應用程序或不信任應用程序的實驗性錢包。此外，用戶應定期使用工具審查並撤銷任何不再使用的合約的激活授權。

總結

這筆與 Alchemix 相關的 100 萬美元損失生動地說明了個人安全實踐與協議級安全同樣至關重要。該事件並非 Alchemix 本身被黑，而是針對一名向惡意行為者授予了權限的特定用戶的定點攻擊。它強化了用戶時刻保持警惕的必要性。在簽署任何交易之前，用戶應核實合約地址，了解被授予的權限，並養成撤銷授權的習慣，以最大程度地縮小其鏈上風險敞口。

本文僅供參考，不構成投資建議。