事件回顧:4950萬美元被盜與Infini的危機應對
2025年2月24日,區塊鏈安全機構Certik監測到以太坊鏈上一筆價值約4950萬美元的可疑資金流出,最終被轉換為DAI穩定幣。經DeFi社區YAM調查,確認被盜資金來自Infini的收益聚合協議Morpho MEV Capital Usual USDC Vault。這是繼四天前Bybit被盜案後,加密行業接連又一次重大安全事件。
Infini團隊在事件發生4小時內發布聲明,承諾全額賠償用戶損失,並透露已定位涉事工程師、向警方報案。儘管理財業務暫停,但平台提款功能保持正常,創始人Christian稱“用戶提款申請累計50萬美元已全部回應”。這一快速回應機制為行業提供了危機處理範本,但也暴露了DeFi協議在智能合約審計和權限管理上的漏洞。
技術漏洞溯源:未經驗證的合約與資金流向
根據Certik分析,攻擊者利用了Infini收益池中一個未經驗證的智能合約,通過偽裝成合法交易實施資金轉移。這種攻擊手法與2024年10月NFT藝術家DeeKay錢包被盜事件相似,均源於協議層權限控制缺失。
值得注意的是,被盜資金並未如常規黑客事件般流向混幣器或跨鏈橋,而是直接兌換為DAI存入集中化交易所。這一反常操作引發兩種猜測:
- 攻擊者試圖通過穩定幣降低資產追蹤難度,快速變現;
- 可能存在內部人員作案,資金流向預先設定的“安全帳戶”。
Infini未公開工程師作案的具體證據,但行業專家指出,DeFi項目需建立雙重驗證、分權治理等內控機制,避免單點故障風險。
行業連鎖反應:用戶信任危機與監管壓力
Infini事件導致DeFi領域出現連鎖反應:
- 市場恐慌:消息公布後,比特幣24小時內跌幅達3.5%,以太坊DeFi協議TVL(總鎖倉價值)單日減少12億美元;
- 監管介入:歐盟金融監管局(ESMA)宣布將修訂《加密資產市場監管法案》(MiCA),要求DeFi平台強制投保並設立風險準備金;
- 用戶擔憂:接二連三的中心化交易所與去中心化交易所被盜,使得用戶一時不知到底哪裡才是安全的。
安全防護建議:從Infini事件中汲取的經驗
為降低類似風險,用戶和平台可採取以下措施:
- 冷熱錢包隔離:將90%以上資產存入硬件錢包,僅保留交易所需資金在熱錢包;
- 合約審計升級:選擇通過JuCoin Labs認證的智能合約項目,避免參與未經驗證的協議;
- 實時監控工具:利用鏈上警報系統(如Certik Skynet)跟蹤大額異動,及時止損。
對於DeFi平台而言,建立透明的資金流向披露機制和第三方保險合作,將成為重建市場信任的關鍵。
未來展望:DeFi平台如何重建市場信心
Infini事件加速了行業安全標準的迭代。部分交易所如JuCoin已推出“安全合作夥伴計劃”,為接入的DeFi協議提供實時風控支持。同時,去中心化保險協議Nexus Mutual宣布開發針對MEV攻擊的定制化保單,預計2025年第二季
Neason Oliver
