Ekubo授权漏洞致140万美金损失,DeFi权限风险再敲警钟

Ekubo因授权缺陷遭黑客攻击,逾百万元封装比特币被盗

去中心化金融协议Ekubo近日遭受针对性攻击,其基础设施中约140万美元价值的封装比特币被非法转移。此次事件再次揭示当前DeFi生态中广泛存在的代币授权管理漏洞,对用户资产保护构成持续威胁。

攻击路径与资金流向确认

攻击者利用Ekubo EVM交换路由器中的授权机制缺陷,通过已获取的用户代币权限从历史交互钱包中提取封装比特币。据追踪数据显示,受损资产为以ERC-20形式部署于以太坊兼容链上的封装比特币,而非原生比特币,表明攻击发生在智能合约层面。相关资金已被转入多个地址,协议方已通过官方渠道通报事件,并由安全机构将其纳入公开漏洞数据库。

开放授权如何成为资金入口

在常规操作中,用户需授予智能合约权限才能执行代币转移。此类授权一旦建立,通常保持有效状态,即使交易已完成也未自动失效。当协议本身存在逻辑缺陷或被恶意利用时,这些长期有效的权限便成为攻击者的突破口。此次事件中,曾与Ekubo路由器交互的用户若未及时撤销授权,其账户即面临被重复调用的风险。由于封装比特币采用与主流代币相同的授权体系,其安全性高度依赖于用户的权限管理习惯。

用户应立即采取防御措施

所有曾与Ekubo进行过交互的用户须尽快核查并清除所有非必要授权。目前已有多个工具支持一键查询与撤销合约权限,实现快速响应。尽管基于授权的攻击并非首次出现,但仍是当前最普遍的资产窃取手段之一。建议用户在跨协议操作时启用限额授权,避免授予无限权限,从而缩小潜在攻击面。随着生态规模扩大及新资金持续涌入,权限治理正成为每位参与者不可忽视的核心环节。

截至目前,Ekubo尚未公布完整技术复盘报告,亦未明确是否启动赔偿机制。用户应持续关注其官方公告,获取后续处置进展、根本原因分析及可能的补偿安排。