Alchemix 用户因代币授权漏洞损失 100 万美元

根据链上安全公司 PeckShield 的消息，一名 Alchemix 协议用户在攻击者利用之前授权的恶意合约后，损失了价值约 100 万美元的收益型代币。PeckShield 最先发现了这一事件。此次攻击针对的是该用户的 yvWETH 仓位，为去中心化金融（DeFi）中与代币授权相关的安全风险敲响了昂贵的警钟。

“黑客之所以能够得逞，是因为用户预先授权了一个恶意合约 (0x143a)，”PeckShield 分析师在 X 平台上发帖称。“该合约包含一个任意调用执行漏洞，攻击者利用该漏洞转移了用户的全部仓位。”

该漏洞并不存在于 Alchemix 或 Yearn Finance 协议本身，而在于用户与另一个独立恶意合约的交互。通过授予该合约使用其代币的权限，用户创造了一个安全漏洞，攻击者随后利用该漏洞抽走了资金。此类漏洞利用已成为 DeFi 中反复出现的主题，用户通常会为了与各种应用程序交互而授予广泛的权限。

这一事件凸显了一个关键的、用户侧的安全挑战，这已超出了主要协议的代码审计范畴。尽管加密安全的大部分关注点集中在协议层漏洞利用或物理上的“扳手攻击”上，但最大且最持续的损失来源通常源于钱包管理意识和用户错误，包括网络钓鱼和过时的授权。

代币授权仍是涉及 7 亿美元的严峻问题

代币授权是以太坊等链上 DeFi 的基础部分，允许智能合约在交易、质押或借贷等活动中与用户的资产进行交互。然而，如果授权未被撤销，它将无限期保持激活状态，从而形成一个永久的“准许证”，恶意或被攻破的合约可以利用它。仅从去中心化应用（dApp）前端断开钱包连接并不能撤销这些链上权限。

根据安全公司 CertiK 的 2025 年报告，网络钓鱼攻击（包括恶意授权这一类别）造成的损失近 7.23 亿美元。Alchemix 事件是这一风险维度的直接例证。它强调了勤勉管理钱包的必要性，而这一实践往往被专注于流动性挖矿或交易的用户所忽视。

安全最佳实践建议采用多钱包方法：一个用于长期存储、极少与 dApp 交互；一个单独的“热钱包”用于日常活动；以及第三个用于新应用程序或不信任应用程序的实验性钱包。此外，用户应定期使用工具审查并撤销任何不再使用的合约的激活授权。

总结

这笔与 Alchemix 相关的 100 万美元损失生动地说明了个人安全实践与协议级安全同样至关重要。该事件并非 Alchemix 本身被黑，而是针对一名向恶意行为者授予了权限的特定用户的定点攻击。它强化了用户时刻保持警惕的必要性。在签署任何交易之前，用户应核实合约地址，了解被授予的权限，并养成撤销授权的习惯，以最大程度地缩小其链上风险敞口。

本文仅供参考，不构成投资建议。