文章总结： 文档回顾二月三大黑客攻击事件，总损失超1700万美元。YieldBloxDAO遭预言机操纵，IoTeX因私钥泄露致权限失控，CrossCurve因权限校验缺失被绕过。文章分析根因并提出加强预言机监控、实施多签等建议，具有较高技术参考价值。 综合评分： 85 文章分类： 安全大事件,漏洞分析,区块链安全

二月三大黑客攻击事件，总损失超1700万美金

原创

BlockSec BlockSec

BlockSec

2026年3月3日 18:01 浙江

2月TOP 3 攻击事件一览

YieldBlox DAO：约1000万美元

2026年2月22日，部署在Stellar Blend V2上的YieldBlox DAO借贷池遭受攻击，损失超过1000万美元。

本次攻击的根本原因在于池子的预言机配置依赖了一个可被操纵的价格来源：SDEX的USTRY/USDC市场。该市场在SDEX上流动性极为薄弱，攻击者通过清除正常挂单、挂入异常订单，将USTRY的市场价格从约1.06美元拉升至约107美元。Reflector预言机随即将这一被操纵的价格更新至数据源，导致YieldBlox DAO的借贷池严重高估USTRY抵押品的价值。攻击者随后以少量USTRY作为抵押品，借出约100万USDC与约6124万XLM，并将资产跨链转移至Base、BSC和以太坊。

需要强调的是，本次事件并非源于智能合约漏洞，而是协议运营在借贷池配置层面的失误。对于依赖外部预言机数据的借贷协议而言，价格源抗操纵性至关重要。借贷协议运营方应在选择价格源时进行严格评估，并持续监控其流动性与安全性。

更多攻击细节请参阅我们的分析报告：Stellar 上 YieldBlox DAO 事件分析

IoTeX：约440万美元

2026年2月21日，IoTeX的ioTube跨链桥在以太坊侧遭受攻击，造成超过440 万美元的资产损失。

本次事件的根本原因是以太坊侧Validator合约Owner账户的私钥被盗。由于跨链桥将全部管理权限集中授予该Owner，且缺乏多签或时间锁等安全机制保护，攻击者在获取私钥后，利用Validator合约的upgrade()函数将TokenSafe和MintPool两个核心合约的所有权转移至攻击者地址。随后，攻击者通过MintPool铸造了约4.1亿枚CIOTX，并从TokenSafe提取了约440万美元的储备资产（包括USDC、USDT、WBTC、WETH、BUSD等），最终将部分资产换出并跨链。根据项目方披露，截至 2 月 26 日，攻击中约3.55亿枚非法铸造的CIOTX已被永久锁定或冻结。

本次事件是典型的单点故障私钥泄露案例，再次凸显了跨链桥架构中集中化管理权限所带来的系统性安全风险。项目方应避免将核心权限集中于单一账户，尤其是涉及合约升级、资产托管及铸币等高风险操作。

项目方的事件分析报告：https://x.com/iotex_io/status/2025824807120412842

CrossCurve：约280万美元

2026年2月2日，CrossCurve跨链桥协议遭受攻击，损失约280万美元。攻击涉及以太坊、Arbitrum、Optimism等多条链。（攻击交易详情： https://blocksec.com/security-incident?hash=0x37d9b911ef710be851a2e08e1cfc61c2544db0f208faeade29ee98cc7506ccc2）

漏洞根源在于ReceiverAxelar合约暴露了一个无权限控制的expressExecute()函数，完全绕过Axelar Gateway的标准验证流程。在Axelar的正确安全模型中，跨链消息必须通过Gateway的授权，并在目标链上通过validateContractCall()函数完成验证。然而，expressExecute()路径完全跳过了这一环节，仅依赖攻击者可自由控制的sourceChain和sourceAddress参数进行白名单校验。攻击者通过构造伪造消息并填入正确的白名单地址，成功绕过校验，触发Eywa CLP Portal的unlock()函数，导致9.99亿枚EYWA代币被非法释放给攻击者。

本次事件表明，协议中的任何“快速执行”或优化路径都必须与标准执行流程保持同等级别的安全假设、验证逻辑与访问控制强度。任何削弱原有信任模型的优化设计，都有可能引入安全机制绕过的风险。

使用 Phalcon Security APP防范DeFi攻击

面对频发的DeFi安全威胁，BlockSec Phalcon 为协议提供实时监控和自动阻断能力。

已有500亿美元资产在Phalcon保护下安全运行。

我们成功阻止了20+真实世界的黑客攻击，挽救了超过2000万美元的资产。想知道如何用 Phalcon Security 防范这类 DeFi 攻击？点击下方视频号，get 详细教学内容，快速掌握安全防护核心技巧👇

点击文章左下角「阅读原文」或访问下方链接，10秒完成预约，前30位预约用户可申请免费试用！

🔗 访问官网：

https://blocksec.com/phalcon/security

🔗 预约演示：

https://blocksec.com/expert-contact

关于BlockSec

BlockSec 是全球领先的区块链安全和合规公司，于 2021 年由多位业内知名专家联合创立。BlockSec 致力于提升 Web3 世界的安全性和易用性，提供一站式安全服务，包括智能合约/链/钱包安全审计服务、协议安全和数字货币合规(AML/CFT)平台 Phalcon Security / Phalcon Compliance / Phalcon Network、资金追踪调查平台 MetaSleuth 和区块链交易分析工具 Phalcon Explorer 等。

目前，BlockSec 已服务全球逾 500 家客户，既涵盖 Web3 知名公司 Coinbase、Cobo、Uniswap、Compound、MetaMask、Bybit、Mantle、Puffer、FBTC、Manta、Merlin、PancakeSwap 等，也包括了权威监管机构及咨询机构，如联合国、SFC、PwC、FTI Consulting 等。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam

推荐阅读👇

BlockSec #每月安全速递

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：BlockSec BlockSec BlockSec《二月三大黑客攻击事件，总损失超1700万美金》