IPOR Fusion Vault 對 Arbitrum 平台的攻擊:已確認全額退款。
IPOR Fusion Vault 遭黑客攻擊:33.6 萬美元 USDC 在 Arbitrum 中被盜,DAO 將予以賠償
惡意交易攻擊了 Arbitrum 上的 IPOR Fusion Vault Hack,導致 336,000 美元 USDC 損失。
此次漏洞攻擊影響了 Fusion 總資金的不到 1%;其他金庫仍然安全。
IPOR DAO 將全額賠償受影響的儲戶,同時與安保公司合作追回資金。
發生了什麼?
2026年1月6日,團隊收到警報,稱Arbitrum平台上的USDC Fusion Optimizer Vault金庫出現可疑交易。 經快速調查,確認此次攻擊導致某個舊版金庫中價值33.6萬美元的USDC被盜。 所幸,損失僅佔Fusion總資金的一小部分,其他金庫未受影響。
Hexagate 和 Blockaid 等安全公司能夠通力合作,幫助及早發現此次事件,而 SEAL 正在協助進行恢復工作。 此次攻擊表明,即使是傳統智能合約的微小配置錯誤也可能導致嚴重的安全漏洞。
來源:官方 X
攻擊是如何進行的?這次漏洞是由於老式金庫中存在著一種完美無瑕的脆弱性造成的:
金庫邏輯錯誤:受影響的金庫的 instantWithdraw 方法缺少驗證。 這導致未經身份驗證的熔絲(執行取款操作的邏輯模塊)能夠運行任意代碼。
管理員賬戶委託(EIP-7702):管理員賬戶將其權限委託給一個合約,該合約具有允許任意調用的功能。 攻擊者利用這一點欺騙金庫,使其誤以為交易已獲批准。
惡意熔絲注入:攻擊者利用這些權限注入了一個惡意熔絲。 由於熔絲驗證缺失,該熔絲能夠提取資產,導致 336K USDC 被轉移到攻擊者的地址。
來源:X
這個保險庫為何存在漏洞此次攻擊針對的是一個遺留系統,該系統部署於實施更嚴格的熔絲驗證策略之前約 490 天。 存在漏洞的 EIP-7702 委託合約被應用於少量較舊的熔絲庫。 較新的熔絲庫具有更嚴格的驗證機制,因此可以防止類似的攻擊。
簡而言之,缺乏適當的驗證和濫用委託造成了一種特殊的漏洞,這種漏洞在其他保險庫中是無法複製的。
IPOR對此有何回應?團隊迅速採取行動,確保存款安全:
追回工作:我們將與 Hexagate、Blockaid 和 SEAL 合作,監控並可能追回被盜資金。
補償:IPOR DAO 國庫將承擔損失,所有受影響的儲戶將獲得全額補償。
安全保障:Fusion Vault 的其餘部分不受影響,是安全的。
IPOR 還承諾發布一份關於此次事件的調查報告,說明其原因以及正在採取的預防措施。
現在是什麼? 未來又將如何?儘管直接影響已經包含在內,但此次事件提醒我們,使用傳統智能合約存在風險。 二層網絡存在一定的風險。
未來,IPOR可能會在驗證、審查委託程序方面更加嚴格,並將與安全公司保持密切合作,以消除此類漏洞。
結論IPOR Fusion漏洞雖然很小,但卻具有啟發意義。 今日加密貨幣市場:由於舊的配置錯誤,導致損失了 33.6 萬美元,DAO 全額退款,這凸顯了智能合約安全方面持續存在的風險。
免責聲明:本文並非投資建議。 投資前請務必自行研究。 CoinGabbAR 對任何財務損失概不負責。 加密資產波動性極高,您可能會損失全部投資。
