资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
去中心化金融永不停歇,即便是为安全资金管理设计的平台,有时也会猝不及防。2026年5月11日,INK Finance成为最新遭遇安全漏洞的项目,攻击者从其Polygon网络上的Workspace Treasury Proxy合约中提取了约14万美元的USDT。安全公司Blockaid率先报告了此事件。
事件经过
此次攻击的突出之处在于其干净利落、有条不紊的执行过程,而非被盗金额的大小。攻击者并未窃取私钥或篡改预言机,而是利用白名单验证中的一个缺陷,并巧妙地结合闪电贷,在一笔交易中提取了资金。
社区警报@inkfinance在Polygon上的Workspace Treasury Proxy在几分钟前遭受攻击,损失约14万美元。更多细节请见
— Blockaid (@blockaid_)2026年5月11日
什么是INK Finance?
INK Finance是一个多链平台,旨在为DAO、协议和现实世界资产项目提供金融操作系统。它提供链上资金管理、治理、支付、募资和合规工具。该平台允许团队创建可定制的“工作区”,并设有不同的委员会负责资金、投资和社区决策。其核心产品包括Universal Custodian Vault和Workspace Treasury Proxy,许多DAO使用这些工具来高效处理授权转账。该项目主要在Polygon和Avalanche上活跃。此次被攻击的合约(0xa184…96E4)是一个于2023年底部署的EIP-1967信标代理合约,是本次攻击的目标。
攻击是如何发生的
根据Blockaid及其他安全研究人员的初步发现,攻击者通过以下关键步骤,在一笔原子交易中执行了精准且计划周密的攻击:
部署恶意合约:攻击者首先创建并部署了一个恶意智能合约,该合约经过精心设计,以满足INK Finance Workspace控制器中的白名单标准。这使得该合约能够以合法的、预先批准的申请者身份出现。
触发申领功能:攻击者随后通过该恶意合约调用了控制器上的claim(claimId)函数。由于白名单检查成功通过,请求得以继续,并触发了从Workspace Treasury Proxy的授权提款,整个过程未引发任何警报。
使用闪电贷扩大资金:为了满足申领过程中可能需要的余额或抵押条件,攻击者在同一笔交易中通过Balancer V2闪电贷借入了约2.5万美元。这笔临时的资金补充使得提取全部约14万美元的USDT成为可能。资金提取后,闪电贷在交易结束前自动偿还。
完整的攻击交易可在Polygonscan上查看:0xb469…6b982攻击者地址:0x90b1…87ee2
资金流向
链上数据显示,攻击者在执行漏洞利用前仅32分钟,通过以太坊上的Railgun接收资金以实现隐私保护,随后才跨链至Polygon。这表明攻击是预先精心策划的。
当前情况及用户建议
INK Finance已承认该事件,但完整的技木分析报告和恢复计划尚未发布。强烈建议在Polygon或Avalanche上拥有活跃工作区的用户和DAO:立即撤销与受影响控制器及代理合约相关的授权;审核所有白名单申请者地址及权限;在转移资金资产前关注INK Finance的官方公告;加强对异常代理交互或资金突然提取的监控。
更广泛的影响
尽管与2026年发生的一些更大规模的DeFi攻击相比,14万美元的损失相对较小,但此事件再次凸显了去中心化金融中一个持续存在的弱点:资金管理系统内部存在缺陷的授权逻辑。基于白名单的机制对DAO运营而言固然方便,但当协议在执行过程中未能重新验证交易金额、所有权或目标地址时,它们可能变得危险。类似的漏洞也在其他协议中出现过,包括Aftermath Finance被攻击事件,据报道,攻击者利用与智能合约执行逻辑相关的弱点提取了超过114万美元。
INK Finance事件再次提醒我们,DeFi的安全并非一劳永逸。持续的审计、分层的权限控制、实时监控以及更严格的验证机制,对于保护链上资金基础设施正变得至关重要。随着DeFi生态系统的成熟,建设者和用户都需要保持主动和警惕,以应对日益复杂的攻击策略。
