配置错误盖过代码漏洞
攻击者存入 8 USDC 作为抵押品,然后带走了 187 ETH —— 价值大约 $390,000。智能合约完全按照设计运行。预言机也履行了职责。但有人将 BTC / USD Chainlink 价格馈送插入了本应属于 USDC 的插槽中。这一行配置将一个运行良好的借贷协议变成了“提款机”。
欢迎来到 DeFi 安全的新前线,在这里,最致命的漏洞并非隐藏在 Solidity 字节码中 —— 而是存在于管理员仪表板、部署脚本和参数文件中。
七天内损失 1300 万美元
2026 年 2 月 23 日至 3 月 1 日期间,七起区块链安全事件导致多个链上的协议损失了约 1300 万美元。这一周之所以引人注目,并非因为金额 —— 仅 2026 年 1 月就损失了 8600 万美元 —— 而是因为根本原因。大部分损失源于配置错误,而非新颖的代码漏洞。
BlockSec 的每周综述描绘了一个清晰的画面:预言机设计和配置缺陷、加密验证失误以及操作疏忽占据了损失的大部分。
YieldBlox DAO:单一预言机路径损失 1020 万美元
最大的事件始于 2 月 22 日,当时一名攻击者瞄准了由 YieldBlox DAO 在 Stellar 的 Blend V2 协议上运行的借贷池。底层的智能合约是稳健的。Blend V2 代码库没有可利用的漏洞。
相反,攻击者发现 YieldBlox DAO 配置其 Reflector 预言机接受来自 Stellar 去中心化交易所 (SDEX) 的 USTRY / USDC 定价 —— 这个市场的深度足以被操纵。在单笔交易中,攻击者将 USTRY 的价格从约 $1.05 推高至超过 $100,然后利用被高估的 USTRY 作为抵押品借走了 6100 万 XLM 和 100 万 USDC —— 总计超过 1020 万美元。
Stellar 验证者冻结了黑客控制地址中的 4800 万 XLM(750 万美元),但损失已经造成。教训非常简单:借贷协议的价格依赖关系必须经过精心选择和监控。对 Blend V2 代码的任何审计都无法发现这一点,因为代码从来不是问题所在。
Ploutos Protocol:错误的馈送,错误的链,一切都错了
四天后,以太坊上的 Ploutos 协议损失了 $390,000。安全公司 BlockSec 指出,这是一个预言机配置错误,严重到看起来像是内部人员所为。该协议的预言机被设置为使用 BTC / USD Chainlink 价格馈送来确定 USDC 的价值。
这个数学计算是毁灭性的。BTC 的交易价格约为 $50,000,而 USDC 价值 $1。通过存入 8 USDC —— 被错误配置的预言机估值为每个代币价值数万美元 —— 攻击者借走了 187 ETH。
该漏洞在配置错误生效后的第一个区块就发生了,这表明要么是极强的监控,要么是预先知情。几小时内,Ploutos 的网站和社交媒体账号全部消失。BlockSec 标记这一时机非常可疑,加密社区普遍将此事件归类为伪装成配置事故的潜在退出骗局 (Exit Scam)。
Foom Cash:价值 230 万美元的部署检查清单失败
3 月 2 日,构建在 zkSNARK 加密技术之上的隐私协议 Foom Cash 因部署过程中的疏忽损失了 226 万美元。该协议的第 2 阶段可信设置 (Trusted Setup) 过程需要对两个加密参数 gamma 和 delta 进行随机化。但这一步从未完成。两个值都保留为默认占位符 (G2 生成器),允许攻击者伪造零知识证明并掏空合约。
幸运的是速度够快。白帽黑客 Duha 发现了漏洞,并在恶意攻击者跨链剩余资金之前在 Base 上保护了 184 万美元。安全公司 Decurity 处理了以太坊上的修复。Foom Cash 向白帽支付了 32 万美元的赏金,并向 Decurity 支付了 10 万美元的费用 —— 如果没有及时的道德干预,损失将大得多。
这不是一个 Solidity 漏洞。这是一个部署程序失败 —— 相当于在生产服务器上保留了工厂默��认密码的加密版本。
更广泛的模式:2026 年 2 月的配置流行病
2 月的最后一周并非异常。当月早些时候,Base 上的 Moonwell 协议因另一个预言机配置错误损失了约 178 万美元。Base cbETH 预言机被分配了一个 cbETH / ETH 汇率馈送,而不是包含 ETH / USD 价格的复合预言机。结果:cbETH 的报价约为 $1.12,而其实际市场价值约为 $2,200。
在整个 2026 年 2 月,Halborn 记录了四次重大协议黑客攻击,共损失 2350 万美元。其中,与配置相关的事件 —— 预言机配置错误和部署参数错误 —— 占据了不成比例的份额。
这种模式不仅仅局限于 DeFi 借贷。区块链调查员 ZachXBT 标记的 Trust Wallet 浏览器扩展漏洞导致数百名用户的超过 600 万美元的 BTC、ETH 和 SOL 被盗。根本原因是供应链配置失败:恶意代码通过一个看似被入侵的更新管道溜进了 2.68 版本的扩展程序。代码伪装成常规分析功能,并将助记词传输到攻击者控制的域名。Binance 创始人赵长鹏确认将对受影响用户进行全额赔偿。
为什么配置错误比代码漏洞更难发现
智能合约审计已显著成熟。Trail of Bits、OpenZeppelin 和 Certora 等公司对协议代�码库部署了形式化验证、符号执行和模糊测试。根据 Coinlaw 的 2026 年统计数据,经过审计的协议遭受的攻击损失比未审计的协议少 80%。
但审计只是对特定时间点的代码进行检查。它们并不审计部署过程、资金池运营商选择的预言机参数,或上线后做出的运营决策。配置处于“代码正常运行”与“系统正常运行”之间的盲区。
几个结构性因素使得配置错误特别危险:
它们绕过了审计覆盖范围。 一个协议可能以满分通过所有审计,但在部署时仍选择了致命的参数。YieldBlox DAO 的 Blend V2 在架构上是稳健的——配置错误发生在运营商层面。
它们在被利用之前通常是隐形的。 与模糊测试可能触发的重入漏洞不同,在静态分析中,错误的预言机喂价看起来与正确的完全一致。只有当市场条件使得攻击有利可图时,它才会失效。
它们与无许可设计相互叠加。 允许任何人创建资金池或市场的协议(这是一种特性,而非漏洞)本质上将配置责任分散给了可能缺乏核心开发团队安全专业知识的运营商。
它们会产生即时的、影响最大的攻击。 代码漏洞通常需要复杂的多个步骤。一个配置错误的预言机能让攻击者在单笔交易中空手套白狼。
真正有效的防御措施
行业并未止步不前。目前正在出现几种方法来弥合配置差距:
参数验证层。 协议正在为预言机配置实施链上合理性检查——例如,在接受价格喂价进行抵押品估值之前,要求其报告的数值必须处于与其他参考喂价相比的合理范围内。
时间锁参数变更。 协议不再允许即时的预言机或参数更新,而是引入强制延迟窗口,让监控系统和社区成员有时间标记可疑的变更。
利用 AI 进行自动化监控。 BlockSec 的 Phalcon 及类似工具现在提供实时交易监控,能够检测异常的抵押品估值并触发警报或自动暂停。2026 年 2 月的一份 Coindesk 报告指出,专门的 AI 系统现在可以检测到 92% 的真实 DeFi 攻击。
白帽基础设施。 Foom Cash 的资金追回展示了有组织的快速响应团队的价值。Platforms like Immunefi 这样的平台已经将漏洞赏金计划正式化,而专业白帽网络的出现意味着伦理黑客经常与恶意攻击者在有漏洞的合约上展开竞争。
部署检查清单和仪式验证。 对于加密协议,Foom Cash 事件加速了自动化验证的采用,以确保可信设置仪式正确完成——即检查参数是否确实经过了随机化,而不是保留了默认值。
数据说明了一切
这种转变是可以量化的。虽然访问控制漏洞仍然在总资金损失中占主导地位(仅 2025 年上半年就损失了 18.3 亿美元,占所有损失的 59%),配置相关的事件作为一个类别正在增长,这恰恰是因为代码安全性正在提高。
随着智能合约审计、形式化验证以及 OpenZeppelin 等经过实战检验的框架减少了传统代码漏洞的攻击面,运营安全(部署程序、参数管理、管理员功能的访问控制)的相对重要性正在增加。
2026 年 2 月,五起最大的安全事件中有四起涉�及配置或运营失败,而非新颖的代码漏洞。2 月 23 日至 3 月 1 日这一周是迄今为止最明显的例子:损失了 1300 万美元,其中大部分可追溯到预言机配置错误和部署参数错误。
这对 DeFi 的未来意味着什么
DeFi 安全的成熟遵循着传统软件中熟悉的模式:随着容易的漏洞被修复,难题开始向上游转移。在 Web 应用程序中,SQL 注入和 XSS 让位给云权限配置错误和 API 密钥泄露,成为主要的攻击媒介。DeFi 正在经历同样的转型。
对于协议团队而言,这意味着安全工作不能止步于审计报告。运营安全——谁可以更改参数、预言机喂价如何验证、部署程序是否自动化且经过验证——值得像智能合约代码一样受到严谨对待。
对于用户和投资者而言,这意味着要提出不同的问题。与其问“这个协议通过审计了吗?”,更好的问题是“谁控制着配置,以及有哪些检查机制可以防止单个配置错误的参数掏空资金池?”
代码正变得越来越好。而风险现在存在于配置之中。
BlockEden.xyz 提供具有内置监控和告警功能的企业级区块链 API 和节点基础设施。对于构建需要可靠预言机集成和运营可见性的 DeFi 协议的团队,请 探索我们的 API 市场,在专为生产级安全而设计的基石上进行构建。