Extropy报告2026年1月重大加密货币黑客事件。Truebit损失2600万美元,Ledger数据泄露暴露用户信息,钓鱼攻击激增。
2026年前两周在Web3平台引发了一波安全事件。
Extropy发布了其安全快讯报告,记录了这些事件。调查结果描绘了当前威胁格局的令人担忧的图景。
根据报告,攻击者在假期期间持续进行攻击。损失范围从数百万美元的漏洞利用到复杂的钓鱼活动。
今年的首个重大事件发生在1月8日的Truebit协议。攻击者利用Extropy称之为“僵尸代码”的漏洞,耗尽了大约$26 百万资金。
漏洞源于遗留智能合约中的整数溢出。这些旧合约缺乏现代Solidity的原生溢出保护。攻击者几乎无需成本地铸造了数百万TRU代币。
一旦创建,这些代币迅速回流到协议中。几小时内,所有可用流动性消失。TRU代币价格在24小时内几乎崩溃了100%。
Extropy指出,攻击者立即通过Tornado Cash转移了8,535 ETH。安全公司随后将该钱包与之前的Sparkle Protocol漏洞联系起来。这表明攻击者是针对废弃合约的重复作案者。
报告警告,遗留合约仍然是一个关键漏洞。项目方必须主动监控或弃用旧代码。
1月5日至7日,TMXTribe遭遇了一次缓慢但同样破坏性的攻击。Arbitrum上的GMX分叉在36个连续小时内损失了140万美元。
Extropy描述此次漏洞利用为机械简单。攻击者通过循环铸造LP代币,兑换成稳定币,然后反复解除质押。未验证的合约阻碍了公众对具体漏洞的分析。
研究人员最担心的是团队的反应。报告指出,开发者在整个攻击过程中一直在链上活跃。他们部署了新合约并执行了升级。
然而,他们从未触发紧急暂停功能。团队反而向攻击者发送了链上悬赏信息。窃贼忽略了该信息,将资金桥接到以太坊,并通过Tornado Cash洗钱。
Extropy质疑这是否是疏忽大意或更糟的事情。报告强调,未验证的合约是用户的危险信号。
在一月的前几天,我们已经看到了Web3失败的全谱:打印钓鱼合同、治理变成内战、慢动作流血的未验证分叉、供应链泄露带来的实体风险、被武器化的钓鱼……https://t.co/ev1flKir3D
— Extropy.io (@Extropy) 2026年1月13日
1月5日,Ledger确认发生了影响其客户的数据显示泄露事件。此次泄露源自支付处理商Global-e,而非Ledger的硬件。
客户姓名、送货地址和联系方式被泄露。Extropy警告,这可能导致所谓的“扳手攻击”场景。攻击者现在掌握了加密硬件钱包所有者及其位置的名单。
报告指出一个令人苦涩的讽刺。Ledger此前曾因收取安全功能费用而受到批评。如今,他们的支付处理商让用户面临实体危险,且无需付费。
Extropy建议用户警惕复杂的钓鱼尝试。被盗数据使攻击者能够通过个性化通信建立虚假信任。
相关阅读: 关于Ledger硬件钱包的安全事件汇总
安全研究员ZachXBT指出,一场针对MetaMask用户的复杂钓鱼行动正在进行中。该活动已从数百个钱包中盗取超过$107,000。
受害者收到专业的电子邮件,声称需要进行2026年的强制升级。邮件使用了合法的营销模板,并配有经过修改的MetaMask标志。Extropy描述“派对帽”狐狸的设计令人感到节日气氛浓厚。
该骗局没有要求提供助记词。相反,它诱导用户签署合约授权。这使攻击者能够从受害者钱包中转移无限数量的代币。
通过将每次盗窃控制在2000美元以下,该操作避免了重大警报。Extropy强调,签名可能和泄露的密钥一样危险。
