Web3混亂重創：2026年僅兩週內數百萬美元遭竊 – 報告

Extropy報告2026年1月發生重大加密貨幣駭客攻擊事件。Truebit損失2,600萬美元,Ledger資料外洩暴露用戶資訊,網路釣魚攻擊激增。

2026年前兩週,Web3平台遭遇一波安全事件。 

Extropy發布了其Security Bytes報告,記錄了這些事件。調查結果描繪出當前威脅環境的令人不安景象。

根據報告,攻擊者在假期期間持續進行攻擊。損失範圍從數百萬美元的漏洞利用到複雜的網路釣魚活動。

Truebit協議因遺留程式碼漏洞損失2,600萬美元

該年度首起重大事件發生在1月8日的Truebit協議。攻擊者竊取了約2,600萬美元,Extropy稱其為「殭屍程式碼」漏洞利用。

該漏洞源自遺留智能合約中的整數溢位。這些較舊的合約缺乏現代Solidity的原生溢位保護。攻擊者幾乎零成本鑄造了數百萬個TRU代幣。

代幣創建後,迅速湧回協議中。所有可用流動性在數小時內消失。TRU代幣價格在短短24小時內暴跌近100%。

Extropy指出,攻擊者立即透過Tornado Cash轉移了8,535 ETH。安全公司後來將該錢包與之前的Sparkle Protocol漏洞利用事件連結起來。這顯示出攻擊者是專門針對廢棄合約的慣犯。

報告警告,遺留合約仍然是一個重大漏洞。專案必須積極監控或棄用舊程式碼。

TMXTribe在36小時內損失140萬美元

在1月5日至1月7日期間,TMXTribe遭受了較慢但同樣具破壞性的攻擊。Arbitrum上的GMX分叉在連續36小時內損失了140萬美元。

Extropy將該漏洞利用描述為機制上很簡單。迴圈鑄造LP代幣,將其兌換為穩定幣,然後重複解除質押。未經驗證的合約阻止了對確切漏洞的公開分析。

最令研究人員困擾的是團隊的反應。根據報告,開發人員在整個攻擊過程中一直在鏈上保持活躍。他們在資金被盜期間部署了新合約並執行了升級。

然而,他們從未觸發緊急暫停功能。團隊反而向攻擊者發送了鏈上賞金訊息。竊賊無視訊息,將資金橋接到Ethereum,並透過Tornado Cash洗錢。

Extropy質疑這是否代表疏忽或更糟的情況。報告強調,未經驗證的合約對用戶來說是危險信號。

Ledger客戶面臨實體安全風險

1月5日,Ledger確認發生資料外洩事件,影響其客戶群。外洩源自支付處理商Global-e,而非Ledger的硬體。

客戶姓名、運送地址和聯絡資訊遭到洩露。Extropy警告,這創造了安全專家所稱的「扳手攻擊」情境。攻擊者現在擁有加密貨幣硬體錢包所有者及其位置的清單。

報告指出一個令人苦澀的諷刺。Ledger之前因對安全功能收費而面臨批評。現在他們的支付處理商卻免費將用戶暴露於實體危險中。

Extropy建議用戶預期會有複雜的網路釣魚嘗試。竊取的資料使攻擊者能夠透過個人化通訊建立虛假信任。

相關閱讀:圍繞Ledger硬體錢包的安全事件彙整

MetaMask網路釣魚活動竊取107,000美元

安全研究員ZachXBT標記了一個針對MetaMask用戶的複雜網路釣魚行動。該活動已從數百個錢包中竊取超過107,000美元。

受害者收到專業電子郵件,聲稱2026年強制升級。這些訊息使用合法的行銷模板,並展示了修改過的MetaMask標誌。Extropy將「派對帽」狐狸設計描述為令人放鬆警惕的節慶風格。

該騙局避免要求助記詞。相反,它提示用戶簽署合約批准。這允許攻擊者從受害者錢包中轉移無限數量的代幣。

透過將個別竊盜金額控制在2,000美元以下,該行動避免了重大警報。Extropy強調,簽名可能與洩露的金鑰一樣危險。

本文Web3混亂重創:2026年僅兩週內數百萬美元被盜——報告首次出現在Live Bitcoin News。