IPOR融合金库遭漏洞利用，Arbitrum平台损失33.6万美元USDC

区块链安全公司通报与IPOR生态系统中Fusion Plasma Vault合约相关的可疑链上活动，事件已确认为安全漏洞，导致约33.6万美元的USDC损失。

慢雾威胁情报警报慢雾MistEye监测到与@ipor_io相关的潜在可疑活动。根本原因是项目团队通过EIP-7702控制的EOA账户所委托的底层合约存在漏洞，允许进行任意外部调用…

— SlowMist (@SlowMist_Team) 2026年1月7日

安全监控平台MistEye最早发现与IPOR相关的异常交易，识别出由项目团队控制的外部账户所委托的底层智能合约中存在漏洞。根据分析，该通过EIP-7702实现的委托合约存在缺陷，使得攻击者能够在PlasmaVault架构内部署并配置恶意的“熔断”合约，最终从受影响的金库中转走资金。

IPOR团队表示，在1月6日收到Hexagate与Blockaid等安全公司对恶意交易的警示。经内部调查后，团队确认Arbitrum上一个旧版IPOR USDC Fusion Optimizer金库已被利用。

IPOR说明本次事件影响范围有限。根本原因可追溯至一个具有特殊配置的历史Fusion金库，该金库成为唯一受此攻击向量影响的案例。因此，协议中其他Fusion金库及用户资金均未受影响。据团队数据，33.6万美元的USDC总损失不足Fusion系统担保资金总额的1%。

目前IPOR正与SEAL等安全组织及相关机构合作追查被盗资金，并探索可能的追回方案。值得关注的是，IPOR DAO已承诺从国库资金全额弥补损失，确保所有受影响存款人获得足额补偿。

团队强调正在实施额外的安全防护措施，并重申其余Fusion金库中未发现其他漏洞。IPOR表示，在持续推进整改工作的同时，用户资金安全始终是其最高优先级。