Judul asli: Rewind 20 Dicuri Incidents: Mengapa lingkaran selalu dicuri
Original by: Changan, Biteye

Pada April 2026, Kelp DAO mencuri $292 juta, dan penyerang meminjam aset nyata di Aafe tanpa jaminan, menyebabkan lebih dari $200 juta dalam utang buruk dalam 46 menit。

Ini hanya salah satu dari banyak insiden pencurian sejak tahun ini, dengan $285 juta dicuri oleh Drift, sekitar $30 juta dicuri oleh Step Finance, sekitar $23 juta dicuri oleh Lab Respiv, dan satu demi satu, sebelum industri dapat bereaksi, dan proyek dicuri berikutnya telah muncul。

Apakah ada pola di balik peristiwa ini? Bagaimana hacker menyerang kesepakatan

Surat kabar ini mengumpulkan 20 kasus yang paling mewakili dari pencurian dalam sejarah dan di masa lalu, dan mencari jawaban。

Menurut 20 kasus yang kami kumpulkan, ada tiga pola yang jelas:

Perbedaan teknis adalah mayoritas, tapi kerugian tunggal relatif terbatas, beberapa kasus otoritas dan serangan pada karya-karya sosial berkontribusi mayoritas kerugian total。

Skala serangan kategori resmi terus meningkat. Dalam 20 kasus, empat insiden kehilangan terbesar berada di belakang penampilan hacker Korea。

Medan tempur dari celah teknologi bergerak dan jembatan tidak pernah aman。

I. 10 Besar Proyek Dicuri

1. Nama projek: Bybit (jumlah curian: $1.5B 124; waktu: Februari 2025)

Alasan pencurian:

Organisasi hacker Korea Utara Lazarus Group (FBI dan ZachXBT percaya diri yang tinggi, bernama "Operasi Pengkhianat Trader") menggunakan garis depan Pembajakan UI + beberapa penipuan tanda tangan untuk memecahkan beberapa mekanisme tanda tangan Safe Wallet。

Penyerang pertama menyusup peralatan pengembangan inti Bybit dan menyuntikkan kode JavaScript berbahaya ke ujung depan dompet. Ketika pemegang tanda tangan berganda (6 tanda tangan) mengeksekusi transfer dompet dingin biasa, UI menunjukkan alamat koleksi normal dan jumlahnya, tapi data panggilan bawah dirusak dan mengarahkan 401.000 ETH ke alamat penyerang. 3 / 6 dari tanda-tanda disetujui transaksi dan dana hilang dalam sekejap。

Masalah Fundamental:Multiple- tanda mengandalkan mesin lapisan interaktif, di mana ujung depan tidak independen validasi untuk membuat keamanan matematika efektif; Tendor membekukan USDT selama berjam-jam, sedangkan Circe membekukan USDC selama 24 jam, memperburuk kerugian. Insiden ini menunjukkan pekerja sosial + UI menyerang sebagai ancaman mematikan bagi platform perdagangan kimia pusat, memicu jaringan sertifikasi transaksi seperti Safenet。

Insiden ini sangat mirip dengan Protokol Drift (April 2026, $285M): sasaran pekerja sosial membangun kepercayaan, diikuti dengan penipuan UI / signature, menandai pergeseran hacker dari celah kontraksi ke "kelemahan manusia"。

Dalam follow- up, Bybit cepat digunakan sendiri dana untuk menutupi semua kerugian secara penuh, memastikan bahwa pengguna kehilangan nol dan bahwa platform sekarang beroperasi terus。

2. Nama projek: Ronin Network (jumlah yang dicuri: $624M waktu: 20 Maret)

Alasan pencurian:

Organisasi hacker Korea Lazarus Group berhasil mengendalikan kunci pribadi dari titik validasi melalui rekayasa sosial dan pintu belakang berarti。

Penyerang menyerang sistem internal Sky Mavis dan, menggunakan pintu belakang dari titik RPC bebas, mengendalikan 5 dari 9 titik validasi (termasuk 4 titik Sky Mavis dan 1 Axie DAO node). Selanjutnya, mereka membangun dua transaksi penarikan palsu, menghasilkan penarikan ilegal 173.600 ETH dan 25.5M USDC。

Akar penyebab insiden tersebut adalah konsentrasi tinggi hak otentikasi dalam desain jembatan pada beberapa node. Batas 5 dari 9 tanda tangan untuk menyelesaikan operasi hampir tidak ada dalam menghadapi serangan yang ditargetkan oleh pekerja sosial。

3. Nama proyek: Poly Network (jumlah yang dicuri: $611M: Agustus 2021)

Alasan pencurian:

Alasan utama untuk pencurian PolyNetwork adalah kesenjangan serius dalam desain regulasi kontrak rantai。

Menggunakan hubungan antara EthCross ChainManager dan EthCross ChainData, penyerang ditempa fungsi yang dapat dilaksanakan。

Sejak EthCrossChainManager sendiri memiliki kekuatan untuk memodifikasi tombol-kunci publik Keeper, dan parameter metode yang digunakan untuk panggilan dapat disesuaikan dengan pengguna, penyerang yang berhasil disebut fungsi PutCurCoucchKeyBytes, yang jika tidak dijalankan dengan hak istimewa yang tinggi。

Akibatnya, para penyerang menggantikan kunci publik mereka dengan administrator yang sah, mendapatkan kontrol atas aset-rantai lintas dan akhirnya ditransfer uang dari rantai ganda。

4

Alasan pencurian:

Dalam keadaan normal, agar pengguna untuk memindahkan aset dari satu rantai ke yang lain, sistem harus terlebih dahulu mengkonfirmasi bahwa aset memang telah disimpan dan bahwa tanda tangan dalam pertanyaan adalah asli, sehingga aset yang sesuai akan dihasilkan di rantai lain。

Masalah Wormhole adalah dalam langkah "sertifikasi tanda tangan" ini. Kode Lubang Cacing menggunakan satuIni sudah ketinggalan jaman, dan fungsi kurang aman untuk memeriksa apakah transaksinya legal. Fungsi ini dimaksudkan untuk mengkonfirmasi apakah otentikasi tanda tangan benar-benar selesai di depan sistem. Namun, inspeksi itu tidak ketat dan memberikan penyerang kesempatan untuk mengambil keuntungan dari mereka。

Menggunakan celah ini, penyerang ditempa satu set informasi yang tampaknya telah "diverifikasi" untuk membuat sistem berpikir bahwa operasi lintas rantai itu nyata. Dengan kata lain, sistem harus memastikan bahwa "uang benar-benar terkunci dalam" pertama, tetapi karena rantai otentikasi dilewati, sistem langsung dipercaya sertifikat palsu diajukan oleh penyerang。

Akibatnya, penyerang menciptakan sejumlah besar WeTHs tanpa benar-benar menyimpan aset yang cukup. Aset ini dihasilkan dan lebih lanjut ditransfer dan dikonversi, mengakibatkan kerugian sekitar $326 juta untuk Wormhole。

5 nama projek: Drift Protocol (jumlah yang dicuri: $285 M-time: April 2026)

Alasan pencurian:

Organisasi hacker DPRK mengalami enam bulan ditargetkan infiltrasi dan menyelesaikan serangan dalam hubungannya dengan Solana Durable Nonce pra-signed skema。

Sejak musim gugur 2025, penyerang telah menyamar sebagai perusahaan perdagangan kuantitatif, membangun hubungan off-line dengan kontributor Drift pada pertemuan terenkripsi internasional dan berinvestasi lebih dari $1 juta di Ekosystem Vault untuk membangun kredibilitas. Setelah mendapatkan kepercayaan diri, para penyerang memikat anggota Dewan Keamanan ke dalam sebelumnya-ditandatangani transaksi tampaknya tidak berbahaya: menggunakan Solana 's Deparable Nonce mekanisme untuk menyembunyikan transfer instruksi manajemen. Pada saat yang sama, Drift baru saja menyelesaikan migrasi untuk nol penundaan, menghilangkan jendela untuk mantan pasca deteksi dan intervensi。

SETELAH MENDAPATKAN HAK UNTUK MENGATUR KESEPAKATAN, PARA PENYERANG MENDAFTARKAN CVT PALSU DENGAN LIKUIDITAS NYATA DARI RATUSAN DOLAR, DAN DENGAN MENJUAL HARGA PABRIK PALSU MEREKA SENDIRI, MEREKA MENDEPOSTASIKAN 500 JUTA CVT SEBAGAI JAMINAN KE DALAM PERJANJIAN, MEMINJAMKAN $285 JUTA DI USDC, SOL DAN ETH. SELURUH FASE IMPLEMENTASI BERLANGSUNG HANYA 12 MENIT。

Serangan itu disebabkan oleh Drift resmi dan SEAL 911 tim keamanan ke DPRK organisasi terkait (organisasi hacker yang disponsori negara bagian negara bagian), bukan warga negara Korea, tapi ketiga partai di bawah kendali mereka。

Nama proyek: WazirX (jumlah curian: $235M 124;: Juli 2024)

Alasan pencurian:

Inti dari serangan itu adalah bertahap pelanggaran dompet dan yang akhirnya pengganti dengan kontrak berbahaya。

Para penyerang pertama kali memperoleh kewenangan dari beberapa tanda tangan (termasuk serangan langsung dan bujukan untuk menandatangani) oleh memancing, dll. Atas dasar itu, tanda-tanda lainnya disesatkan oleh antarmuka palsu, yang memungkinkan mereka untuk menyetujui transaksi berbahaya tanpa pengetahuan。

Setelah mengumpulkan tanda tangan yang cukup, penyerang tidak secara langsung mentransfer aset, tetapi menggunakan beberapa dompetMekanisme yang dapat ditingkatkanSebuah latihan upgrade kontrak dilakukan untuk menggantikan kontrak kinerja asli dengan kontrak berbahaya untuk penyebaran tersebut。

Ketika kontrak berbahaya diatur sebagai logika implementasi baru, semua transaksi selanjutnya dialihkan dan dana terus mengalir ke alamat para penyerang. Akhirnya, kontrol dari beberapa dompet sepenuhnya diambil alih dan rantai aset secara bertahap ditransfer keluar。

7 nama projek: Cetus (jumlah curian: $223M 124;: Mei 2025)

Alasan pencurian:

Serangan itu muncul dari celah dalam perjanjian 's komputasi likuiditas。

Secara khusus, ada batas kesalahan dalam fungsi matematika yang digunakan Cetus untuk memproses angka-angka besar. Ketika nilai mencapai titik kritis, sistem tidak benar mengidentifikasi tumpahan yang akan datang dan terus menghitung, menghasilkan hasil yang tidak normal diperbesar。

Para penyerang dibangun proses di sekitar ini:

kondisi harga ekstrim dibuat melalui transaksi besar, posisi likuiditas dibuat di zona tertentu dan hanya jumlah aset yang sangat kecil diinvestasikan (tingkat debu). dalam kondisi ini, tumpahan dalam kontrak dipicu, yang menyebabkan sistem untuk menghitung bahwa agresor harus menerima bagian dari likuiditas jauh lebih dari masukan sebenarnya。

Setelah itu, para penyerang menggunakan saham yang diperkuat ini untuk melakukan penghapusan operasi likuiditas, mengambil lebih banyak aset dari kolam renang daripada investasi. Seluruh proses dapat diulang, menghasilkan penarikan terus dana dari kolam renang, yang akhirnya mengakibatkan kerugian besar-skala。

Proyek 8

Alasan pencurian:

Inti dari serangan ini adalah kunci pribadi dari akun high-authority koin telah rusak dan kontrol akses telah gagal。

Kontrak Gala sendiri memiliki batas pada fungsi meint, tapi salah satu pemegang kunci rekening minter diperoleh. Akun tersebut tidak digunakan untuk waktu yang lama, tetapi mempertahankan hak istimewa yang penuh dan tinggi。

SETELAH MENDAPATKAN KENDALI AKUN, PENYERANG LANGSUNG DISEBUT SEIGNIORAGE KONTRAK, CASTING SEKITAR 5 MILIAR GALA TOKEN DAN MENTRANSFER MEREKA KE ALAMAT PRIBADI MEREKA. SELANJUTNYA, PARA PENYERANG MENGUBAH KOIN MENJADI ETH DI PASAR DI BATCH DAN MENGUANGKAN MEREKA。

Seluruh proses tidak mengambil keuntungan dari celah kontraksi cerdas, tapi melakukan tindakan berbahaya secara langsung melalui otoritas hukum。

Nama projek: Mixin Network (jumlah yang dicuri: $200M: September 2023)

Alasan pencurian:

Pada jantung serangan itu adalah bahwa Mixin terus kunci pribadinya dalam pusat dikelola database awan。

Mixin Network mengklaim telah dipertahankan bersama oleh 35 node utama untuk mendukung 48 rantai rantai publik transfer, tetapi dompet panas dan kunci pribadi ke sejumlah besar alamat deposit disimpan dalam database penyedia layanan awan ketiga pihak dalam cara "dipulihkan". Pada jam-jam awal 23 September 2023, penyerang memasuki database dan diekstrak kunci pribadi dalam jumlah besar。

KETIKA KUNCI PRIBADI DIPEROLEH, PENYERANG TIDAK HARUS MEMECAHKAN SETIAP LOGIKA KONTRAKTUAL DAN MENANDATANGANI TRANSFER LANGSUNG DALAM KAPASITAS HUKUM. CATATAN RANTAI MENUNJUKKAN BAHWA PARA PENYERANG MENGOSONGKAN ALAMAT MEREKA DALAM URUTAN DIMANA SALDO BERADA DALAM URUTAN TINGGI KE BAWAH, MELIBATKAN LEBIH DARI 10.000 TRANSAKSI BERTAHAN BEBERAPA JAM, DENGAN ASET BESAR TERMASUK SEKITAR $95.3 JUTA ETH, $23,7 JUTA BTC DAN $23.6 JUTA USDT, DIMANA USDT CEPAT DIUBAH MENJADI DAI UNTUK MENGHINDARI PEMBEKUAN。

Nama proyek: Euler Finance (jumlah yang dicuri: $197M pada bulan Maret 2023)

Alasan pencurian:

Di jantung serangan itu adalah ketidak-konsistenan antara aset dasar dan logika perhitungan dari kewajiban dan eksploitasi oleh Fasilitas Flash。

Secara khusus, fungsi DonateToReserve Euler hanya hancur eToken, mewakili aset hipotek, tetapi tidak secara bersamaan menghancurkan dToken, mewakili utang, menghasilkan rincian sistem "agunan" dan "liabilitas" korespondensi。

Dalam kasus ini, kesepakatan itu salah mempertimbangkan bahwa pengurangan aset yang terbebani dan perubahan dalam struktur utang menciptakan keadaan aset abnormal。

Para penyerang dibangun satu set operasi prosedur di sekitar ini:

Pertama, Anda meminjam sejumlah besar uang melalui pinjaman kilat, Anda deposito dan pinjaman dalam perjanjian, dan Anda merekayasa ulang jumlah eToken dan dToken. Menggunakan atas - disebutkan kekurangan logika, sistem terus menghasilkan posisi aset / kewajiban yang salah, sehingga mendapatkan garis pinjaman di luar kapasitas jaminan yang sebenarnya。

Setelah memperoleh kapasitas pinjaman yang sangat tinggi, penyerang menarik dana dalam batch dan mentransfer mereka melalui berbagai aset (DAI, USDC, STETH, WBTC). Proses ini selesai dalam satu transaksi dan, melalui beberapa operasi, hasilnya diperkuat, mengakibatkan kerugian sekitar $197 juta。

II. 10 proyek yang baru dicuri

Nama proyek: Hyperbridge (jumlah yang dicuri: sekitar $2.5 juta, April 2026)

Alasan pencurian:

Di jantung acara ini adalah bukti bahwa logika Token Gateway cacat。

Menggunakan MMR (Jangkauan Gunung Merkle) untuk membuktikan bahwa verifikasi masukan telah hilang, penyerang ditempa surat rantai silang yang seharusnya tidak lewat. Sebagai sistem salah memperlakukan sertifikat ini sebagai bukti yang valid, penyerang diberikan lebih lanjut otoritas regulasi untuk mengakses DOT kontrak di Etherjek, kemudian menemukan beberapa 1 miliar palsu Bridged DOT dan menjualnya di Dex。

Pada saat yang sama, serangan itu juga mempengaruhi kolam DOT di Etherum, Base, BNB Chain dan Arbitrum, yang kemudian direvisi oleh otoritas resmi untuk mencerminkan kehilangan diperkirakan sekitar US $237.000。

2

Alasan pencurian:

pada jantung serangan ini adalah permukaan cap verifikasi yang dapat dilewati, dan logika perhitungan laju pertukaran superseding digunakan。

Secara khusus, selama perhitungan dana pasar, Venus secara langsung menggunakan balansia () untuk membaca keseimbangan nyata dalam kontrak; namun, batas topi subply hanya diperiksa dalam proses mint ()。

Dengan mentransfer ke aset bawah (ERC-20 transfer) langsung ke kontrak vToken, penyerang melewati mint (), sehingga menghindari verifikasi cap ekstensi。

Karena dana ini termasuk dalam keseimbangan kontraktual, sistem tersebut menganggap aset kolam renang telah meningkat dalam menghitung tingkat tukar, tetapi jumlah vToken yang sesuai tidak meningkat, menghasilkan laju pertukaran yang tidak normal。

Dalam kasus tersebut, nilai dari aset jaminan asli di tangan para penyerang telah diperkuat, sehingga jauh lebih tinggi daripada kapasitas pinjaman sebenarnya。

Selanjutnya, penyerang, menggunakan nilai tambahan yang ditingkatkan, berulang kali meminjam dan menaikkan harga dan pinjaman dari siklus, mengambil beberapa aset dari kesepakatan, mengakibatkan kerugian sekitar $5 juta。

3 nama projek: Resolv Labs (jumlah yang dicuri: sekitar $23 sampai $25 juta, 2026 Maret)

Alasan pencurian:

Pada jantung serangan adalah melanggar kunci tanda tangan, dan kontrak berantai tidak memiliki topi pada koin。

Resolv apos; s proses casting USR bergantung pada layanan berbasis chain-: pengguna menyerahkan permintaan dan kemudian menandatanganinya dengan sistem memegang kunci pribadi khusus (PELAYAN ROLE) dan akhirnya kontrak mengeksekusi pengecoran。

Kontrak itu sendiri, bagaimanapun, hanya memeriksa apakah tanda tangan valid, tidak memverifikasi apakah jumlah casting masuk akal, tidak memiliki rasio jaminan, prognostik harga atau pembatasan casting maksimum。

Para penyerang menyerang infrastruktur awan proyek ini dan memperoleh kunci pribadi tanda tangan sehingga mereka dapat menghasilkan tanda tangan hukum mereka sendiri。

DENGAN IZIN KHAS, PENYERANG MENGGUNAKAN SEJUMLAH KECIL USDC (SEKITAR US $100.000 KE US $200.000) SEBAGAI MASUKAN, MEMALSUKAN PARAMETER DAN LANGSUNG CASTING SEKITAR 8 JUTA USRS TANPA DUKUNGAN JAMINAN。

SELANJUTNYA, USRS YANG TIDAK TERCOLLATERALISASIKAN INI DENGAN CEPAT DIUBAH MENJADI MATA UANG YANG STABIL LAINNYA DAN AKHIRNYA ETH, DAN DANA SECARA BERTAHAP DITRANSFER KELUAR, SEMENTARA SEJUMLAH BESAR PASOKAN TAMBAHAN MENYEBABKAN KERUSAKAN CEPAT HARGA USR。

Nama proyek: Saga (jumlah curian: sekitar $7 juta, Januari 2026)

Alasan pencurian:

Inti dari serangan ini adalah logika validasi cacat dari jembatan prekompilasi EVM。

SagaEVM menggunakan EVM berdasarkan Ethermint, dan ada celah yang tidak terdeteksi dalam kode yang mempengaruhi transaksi validasi logika di seluruh jembatan。

Dengan membangun transaksi tertentu, para penyerang melewati jembatan untuk memverifikasi apakah aset yang telah disimpan dan "menstabilkan persediaan mata uang pembatasan"。

Dalam kasus sertifikasi dari keliling, sistem memperlakukan informasi palsu ini sebagai operasi lintas rantai yang sah dan memalsukan sejumlah uang sesuai stabil sesuai dengan proses. Dengan tidak adanya dukungan jaminan nyata, penyerang dapat menempa sejumlah besar uang stabil tanpa biaya dan mengubahnya menjadi aset nyata dalam perjanjian。

Akhirnya, dana yang disepakati secara konsisten ditarik, mata uang stabil itu dipecah dan sekitar $7 juta aset ditransfer keluar。

Nama proyek: Solv (jumlah yang dicuri: sekitar $2.5 juta, 2026 Maret)

Alasan pencurian:

Pada jantung serangan adalah kesenjangan koin ganda (dipicu oleh re-entry) dalam kontrak BRO Vault。

Secara khusus, ketika menerima aset ERC-3525, panggilan kontrak doSafeTransferin, sementara ERC-3525 didasarkan pada ERC-721 dan pemicu onERC 721 Menerima transfer selama proses transfer keamanan。

Dalam proses ini, kontrak melakukan casting koin dalam proses utama, dan di back- to-back fungsi itu memicu lain casting koin operasi。

Sejak penarikan terjadi sebelum seigniorage pertama belum lengkap sepenuhnya, penyerang bisa memicu koin dua kali dalam satu operasi deposit untuk membentuk jalur masuk kembali khas. Dengan membuat penggunaan berulang dari celah, penyerang diperkuat sejumlah kecil aset menjadi volume besar BRO, dikonversi mereka menjadi SolvBTC dan ditransfer mereka keluar。

Nama proyek: Aafe (secara tidak langsung terpengaruh, risiko utang buruk sekitar $177 juta menjadi $236 juta, April 2026)

Alasan pencurian:

Celah langsung dalam acara ini bukan Aaf, tapi mekanisme sertifikasi sambungan silang dari Kelp DAO gagal。

Penyerang mengirim pesan palsu ke jembatan berrantai antara berdasarkan Lalang Zero, yang menyebabkan pelepasan dan casting salah sekitar 116.500 rSETH tanpa benar-benar ditempatkan di ETH. RSETH ini tidak didukung oleh aset nyata tetapi digunakan sebagai jaminan normal dalam sistem。

Setelah itu, para penyerang disimpan ini rsETHs uncollateralized ke Aafe sebagai jaminan dan meminjam sejumlah besar aset nyata (WETH). Sebagai Aafe 's set parameter memungkinkan untuk hipotek skala besar dan pinjaman, penyerang lengkap pinjaman dan transfer dana dalam waktu singkat。

Hasil akhirnya adalah:Penyerang itu mentransfer resiko ke Aafe oleh "foranging agunts agunan aset nyata" untuk menciptakan besar skala utang buruk。

7 nama proyek: YieldBlox (jumlah yang dicuri: sekitar $10,2 juta, 2026 Februari)

Alasan pencurian:

PADA JANTUNG SERANGAN INI ADALAH PREDIKSI BAHWA HARGA MESIN DAPAT DIMANIPULASI OLEH TRANSAKSI TUNGGAL (RENDAH MOBILITAS + VWAP MEKANISME)。

Sebelum serangan itu, transaksi USTRY / USDC memiliki sedikit likuiditas dan tidak memiliki perdagangan normal di jendela harga prediktor. Ramalan Reflektor yang digunakan oleh YieldBlox didasarkan pada VWAP (harga berbobot dagang), dalam hal ini transaksi tunggal dapat menentukan harga。

PENYERANG BERHASIL MENAIKKAN HARGA PROGNOSIS SEKITAR $106 DENGAN MENGGANTUNG HARGA EKSTRIM (SEKITAR 500 USDC / USTRY) DAN MENGGUNAKAN AKUN LAIN UNTUK MENYELESAIKAN TRANSAKSI DALAM JUMLAH YANG SANGAT KECIL (SEKITAR 0.05 USTRY)。

SETELAH HARGA DIPERKUAT, USTRY DISELENGGARAKAN OLEH PENYERANG SECARA SISTEMATIS DIPERLAKUKAN SEBAGAI JAMINAN NILAI TINGGI, SEHINGGA MEMPEROLEH GARIS PINJAMAN BAIK DI ATAS NILAI NYATA. SELANJUTNYA, PARA PENYERANG LANGSUNG MEMINJAMKAN SEMUA ASET (XLM DAN USDC) DI KOLAM RENANG UNTUK MENYELESAIKAN PENARIKAN DANA。

Nama proyek: Langkah Keuangan (jumlah yang dicuri: sekitar $30 juta menjadi $40 juta, Januari 2026)

Alasan pencurian:

Pada jantung serangan itu adalah runtuhnya peralatan dari anggota inti proyek, menghasilkan hilangnya kunci pribadi atau proses tanda tangan。

Penyerang mendapatkan akses ke dompet proyek melalui peralatan eksekutif tim hacker. Kunjungan tersebut mungkin termasuk akses langsung ke kunci pribadi atau interferensi dengan proses tanda tangan transaksi dengan menanamkan proses berbahaya untuk memungkinkan manajer menyetujui transaksi berbahaya tanpa pengetahuan。

Setelah akuisisi kontrol, penyerang beroperasi beberapa dompet Solana dikendalikan oleh proyek, termasuk melepaskan aset unstake dan mentransfer dana. Seluruh proses tidak mengatasi kesenjangan dalam kontrak cerdas, tetapi langsung digunakan hak-hak dompet yang diperoleh untuk menyelesaikan transfer dana。

Akhirnya, pemindahan besar dana proyek menghasilkan kerugian sekitar $30 juta dan memicu penurunan tajam dalam harga token。

Nama proyek: Truebit (jumlah yang dicuri: sekitar $26 juta, Januari 2026)

Alasan pencurian:

PADA JANTUNG SERANGAN INI ADALAH KESENJANGAN INTEGER DALAM TRU MEMBELI FUNGSI HARGA。

Dalam perhitungan harga BuyTRU (), beberapa perkalian besar dan tambahan yang terlibat, tetapi kontrak dikompilasi menggunakan sollidity 0.6.10 dan baku tidak tumpah。

ketika penyerang memasuki parameter besar tertentu, perhitungan menengah yang berlebihan dan nilai-nilai dibulatkan, menghasilkan rendah tidak normal atau bahkan tidak ada harga pembelian。

DALAM KASUS INI, PARA PENYERANG DAPAT MEMBELI SEJUMLAH BESAR TRUS DENGAN BIAYA SANGAT RENDAH ATAU BAHKAN NOL。

Logika penjualan perjanjian (sellTRU () masih dihitung sesuai dengan aturan normal, dan ETH cadangan dalam kontrak dapat dikonversi pro rata。

Para penyerang kemudian mengulangi:

BELI TRU DENGAN HARGA RENDAH / NOL

Penarikan terus dana dari kesepakatan melalui beberapa putaran operasi mengakibatkan kerugian sekitar $26 juta。

Nama proyek: Makina (jumlah yang dicuri: sekitar $4,1 juta, Januari 2026)

Alasan pencurian:

Inti dari serangan adalah ketergantungan pada data kolam Kurva eksternal untuk perhitungan AUM / sharPrice, yang tidak diverifikasi dan dimanipulasi oleh uang flash。

Penyerang meminjam sejumlah besar uang melalui pinjaman petir, sementara disuntikkan likuiditas ke dalam dan diperdagangkan dalam beberapa kolam Curve, dan artifisial mengubah kondisi kolam dan perhitungan terkait (misalnya nilai LP, perhitungan witdraw, dll)。

Data-data yang dimanipulasi ini digunakan oleh persetujuan langsung untuk AUM (skala manajemen aset) perhitungan dan lebih berpengaruh pada SharePrice。

Karena kurangnya validasi efektif atau waktu pemberat data eksternal, sistem memperlakukan anomali ini sebagai nilai-nilai nyata, menghasilkan:

AUM TELAH DIBESARKAN SECARA SIGNIFIKAN

SharePrice sangat kuat

Setelah mengangkat SharePrice, penyerang menggunakan perbedaan harga untuk mendasari aset dari kolam renang DUSD / USDC untuk mendapatkan keuntungan。

III. Pola dan wahyu umum dari 20 insiden pencurian

Dari 20 insiden ini, kita dapat melihat tren yang semakin jelas: hanya ada dua cara di mana hacker dapat mencuri aset besar: celah teknologi dan rekayasa sosial。

Satu, celah teknis, jalur migrasi yang jelas dapat dilihat pada saat distribusi kasus kesenjangan teknis。

Jangkauan teknis awal sangat terkonsentrasi di jembatan, yang cepat tumbuh, paling up-to-date kode, dan terlemah audit infrastruktur pada tahap itu. Ini membawa sejumlah besar aset tetapi belum cukup berpengalaman pengujian konfrontasional。

Industri kemudian mulai fokus pada cross- rantai keamanan jembatan, mekanisme sertifikasi umumnya diperkuat dan large- skala kesenjangan teknis di jembatan secara signifikan berkurang. Tapi celah itu tidak hilang, itu hanya terjadi di tempat yang berbeda - logika matematika dalam perjanjian DeFi, desain mesin prognosis, dan ketergantungan pada ketiga bank partai。

Cetus: batas perpustakaan matematika salah

Truebit: tumpahan integer dari versi lama dari kompiler

Terlalu banyak kepercayaan di pasar rendah cair untuk ramalan。

Hanya ada satu esensi di balik ini: wajah serangan selalu mengikuti aset, mengikuti dimensi lama dan baru dari kode, mengikuti zona buta audit. Tipe tertentu infrastruktur ditargetkan, industri mulai fokus, pertahanan diperkuat, dan penyerang kemudian pindah ke pertumbuhan cepat berikutnya dan pertahanan terlemah。

Pekerjaan sosial: Dari 20 kasus pencurian, 4 telah diidentifikasi atau sangat dikaitkan dengan organisasi hacker Korea Ronin, WazirX, Bybit, Drift, dengan kerugian total lebih dari $2,5 miliar。

Menurut Chainalysis, Asosiasi Terkait Korea Utara Hacker mencuri lebih dari $2 miliar dalam aset enkripsi pada tahun 2025 saja, akuntansi untuk hampir 60 persen dari total enkripsi global dicuri pada tahun itu. Dibandingkan 2024, jumlah serangan hacker di Republik Demokratik Korea menurun sebesar 74 persen, namun jumlah rata-rata per serangan meningkat secara signifikan。

Hacker Korea Utara juga terus meningkat, dari gangguan langsung sistem internal selama periode Ronin untuk memasok serangan berantai di Bybit, untuk menyusup di bawah Drift enam bulan, setiap kali menemukan pendekatan baru di luar garis yang ada。

Hal ini bahkan lebih mengkhawatirkan bahwa hacker Korea juga embedding dalam industri enkripsi global menyamar sebagai pengembang yang, setelah mereka memasukkan target perusahaan, akan memetakan struktur sistem internal, mendapatkan akses ke kode repositori, dan diam-diam memasukkan mereka ke pintu belakang kode produksi。

Lingkup efek yang dicuri meluas: insiden awal pencurian, dampak sebagian besar terbatas pada perjanjian itu sendiri, tetapi sebagai DeFi menjadi lebih konglomerat, tunggal-titik dampak mulai ditransmisikan eksternal。

Setelah pencurian, setidaknya 20 perjanjian mengandalkan mobilitas atau strateginya terganggu, ditangguhkan atau langsung hilang, dan 50 persen TVL of Carrot Protocol terpengaruh。

Kontrak Aafve itu sendiri benar-benar tidak masalah, dan hanya dengan menerima rSETH dari Kelp DAO sebagai jaminan, kegagalan jembatan eksternal secara langsung mengirimkan resiko utang buruk Ave。

Pola-pola ini pada akhirnya menunjuk ke sebuah kenyataan: menempatkan aset dalam perjanjian, tidak hanya mempercayai kode perjanjian. Pada saat yang sama, Anda mempercayai penghakiman dan keamanan operasional dari setiap aset eksternal di mana ia bergantung, setiap layanan pihak ketiga, dan mereka yang memiliki otoritas manajerial。

Dalam periode akhir-akhir ini, satu demi satu, Polymarket datang on line bulan ini: "Apakah ada proyek cincin mata uang yang telah dicuri lebih dari 100 juta tahun ini?" dan berakhir di pasar sebelum sebulan. Bukan kebetulan bahwa aset DeFi tumbuh dalam ukuran, bahwa ketergantungan antara perjanjian semakin mendalam, tetapi kemampuan untuk menjaga uang tidak menjaga kecepatan dengan ini。

Tekanan untuk keamanan masih tidak longgar, tetapi dimensi ancaman meningkat。Pada bulan April 2000, Claude Mythos Preview, dirilis oleh Anthropic, menemukan ribuan lubang berisiko tinggi di setiap sistem operasi arus utama dan peramban dan mampu mengubah 72 persen lubang yang diketahui ke jalur serangan yang tersedia。

Kemampuan ini, sekali sistematis dipindai kontrak cerdas, berarti bahwa celah dalam industri DeFi akan ditemukan dan dieksploitasi pada tingkat yang belum pernah terjadi sebelumnya. Pada saat yang sama, partai proyek dapat secara proaktif menggunakan alat ini untuk melakukan inspeksi diri sendiri, mengidentifikasi dan memperbaiki risiko potensial di muka dan lebih lanjut meningkatkan kemampuan keamanan sendiri。

Untuk pengguna biasa, kasus-kasus ini dapat memberikan beberapa wawasan langsung:

1.Jangan berkonsentrasi aset dalam satu kesepakatan。Penyimpanan desentralisasi, sementara tidak benar-benar menghilangkan risiko, akan mengontrol batas atas kerugian tunggal。

2.Jaga jarak dari perjanjian baru。Sebagian besar lubang teknis ditemukan awal setelah kesepakatan itu online. Sebuah perjanjian yang telah beroperasi selama dua tahun, telah menjalani beberapa putaran audit dan pengujian stres nyata, jauh lebih aman daripada kesepakatan yang memberikan kembali tinggi segera online。

3.Apakah kesepakatan benar-benar menguntungkan。Kemampuan nyata untuk membayar ketika kerugian dicapai ketika kesepakatan laba-membuat ditemukan. Agresi yang beroperasi dengan insentif token dan tidak memiliki pendapatan yang nyata dari mereka sendiri, dan jika terjadi insiden, program kompensasi sering terbatas pada koin atau gambar baru。

Sebuah infrastruktur keuangan yang benar-benar matang tidak akan menjaga keamanan selamanya di belakang target pertumbuhan. Berita yang dicuri tidak akan berhenti sampai hari itu datang。

Tautan Asli