根據 Cointelegraph 於 13 日（當地時間）的報導，針對中小型加密貨幣項目的「小規模駭客攻擊」正持續累積損失。今年截至目前，已發生 77 起「駭客事件」，累計損失金額超過「11 億美元」，僅本週就有 6 個專案遭攻擊，約「600 萬美元」資金被轉移。這類攻擊雖然規模不及大型交易所事件，卻正成為拖累「加密貨幣市場」信任的重要風險來源。

根據「Protos」彙整的「區塊鏈安全」數據，今年以來加密貨幣相關「駭客攻擊」共計 77 起，其中「4 月」單月損失金額就已突破「6 億美元」。在 4 月事件中，以「Drift Protocol」和「rsETH 跨鏈橋」兩起重大攻擊最為嚴重，合計占該月損失金額的約 95%。不過，進入「5 月」後，大型攻擊數量有所減少，但在「Polygon(MATIC)」、「Arbitrum(ARB)」等多條「公鏈網路」上，小型與中型攻擊事件仍持續發生。

在本週新發生的案例中，「11 日」首先傳出「Polygon(MATIC)」生態上的 DeFi 項目「Ink Finance」遭到攻擊。該專案的「Workspace Treasury Proxy 合約」遭駭，導致約「14 萬美元」資金被轉出。「區塊鏈安全」公司 SlowMist 指出，攻擊主因是合約中用於薪資發放的 PayrollDistribution 函數缺乏「存取控制」，讓攻擊者得以任意調用相關功能。此外，同一天內，「Huma Finance」也爆出安全事件，損失金額約「10 萬美元」。團隊澄清，本次事故發生在早已停止使用的「Solana(SOL)」版「舊版 v1 智慧合約」，與目前運行中的新版本無關。

「12 日」則輪到「TAC Bridge」傳出安全事故。TAC 被介紹為用於協助「TON(TON)」生態系連接「EVM 去中心化應用（dApp）」的區塊鏈基礎設施，但第三方分析顯示，本次攻擊疑似導致「USDT」與「BLUM」等多種代幣合計約「300 萬美元」被盜。同日，「Transit Finance」亦遭遇攻擊，約「190 萬美元」等值的「DAI」穩定幣被轉走。專案團隊說明，駭客利用的是自 2022 年起理應不再使用的「既有已知漏洞」，顯示過去的弱點未被徹底關閉；官方並表示將提出「受害者補償方案」。

除上述案例外，其他「去中心化金融（DeFi）」專案同樣成為攻擊目標。「Aurellion」 reportedly 損失約「45.5 萬美元」，「BoostHook」則遭竊約「20 萬美元」資產。到了「13 日」，「Arbitrum(ARB)」網路上的專案「FOX Colony」再度傳出被駭消息，初步估計損失約「13 萬美元」。安全研究人員指出，市場上隨後還出現一宗模仿此手法的「跟風攻擊」，額外造成約「5 萬美元」損失。

「評論」

近期一連串小型與中型駭客事件，凸顯中小型項目的「資安治理」與「風險控管」明顯落後於大型交易所與主流協議。從上述攻擊細節來看，多數並非高難度零日漏洞，而是「缺乏存取控制」、「重複利用舊版合約」、「既知漏洞未完全修補」等基礎問題；這意味著，只要團隊在「合約審計」、「版本管理」及「權限控管」等面向加強流程，部分損失原本是可避免的。

對「加密貨幣市場」整體而言，即使單一事件的規模不大，但在一年內累積超過「11 億美元」的實際損失，勢必影響一般使用者對「DeFi」、「跨鏈橋」以及新興公鏈生態的信心。未來若要改善市場的「信任赤字」，專案方除了依賴外部「智能合約審計」與「安全公司」監控外，也必須在開發階段建立更嚴格的內控標準，降低相同類型的「安全漏洞」被一再重複利用。