350万美元连环盗取…‘Oracle操纵’渗入的DeFi借贷遭黑客攻击，下一个目标是谁注：翻译在忠实原意的基础上，通过使用“连环盗取”、“渗入”等词语增强了事件描述的连贯性与紧张感，并将“다음 타깃은

币安Binance

币安交易所是全球加密货币交易所龙头，在手机上即可买卖比特币等数字货币！

官网注册  APP下载

瞄准DeFi借贷协议的连环黑客正利用连续出现的预言机（价格信息）设置错误扩大攻击规模

目前累计已确认的盗取金额约达350万美元。最近一次攻击发生在借贷平台Ploutos Money，因预言机"故障"触发，预计造成约40万美元损失。安全公司CertiK指出，该项目似乎已删除其网站和社交媒体痕迹。

据区块链安全审计公司BlockSec分析，Ploutos Money错误地将Chainlink的比特币/美元数据源用作稳定币USDC的价格预言机。利用这一"预言机配置错误"，攻击者仅抵押8枚USDC就借出了187枚ETH。

攻击时机也引发疑虑。BlockSec表示："在确认配置错误后仅间隔一个区块，攻击便立即执行"，暗示攻击者可能"密切监控"了设置变更。不过CertiK和BlockSec的帖子评论区中，不乏对内部人员参与的质疑。

化名调查员Tanuki42将此次攻击者与至少4起其他黑客事件相关联，其中两起涉及Moonwell的"百万美元级"损失事件。Moonwell上周因预言机将cbETH价格误报为1.12美元而非2200美元，产生约180万美元坏账。尤其引发行业关注的是，触发该损失的代码变更据称由Moonwell贡献者与Claude Opus 4.6共同编写，使得"AI编程"及验证不足问题成为焦点。

同日还发生了另一起独立攻击事件。以太坊上宣称"私有ZK彩票"的FOOM CASH因"失效的ZK验证器"被利用损失160万美元。QuillAudits报告显示，损失包括以太坊上130万美元及Base链上31.6万美元。问题根源在于ZK验证逻辑本身的设计实施缺陷——将两个常量设为相同值导致"任何人都能计算验证方程，无需密钥"。

类似攻击上周也出现在Base的隐私协议Veil.Cash，但损失相对较小（4.5 ETH），其中2 ETH已知被白帽安全公司Decurity追回。

这些连环攻击的共同点在于：预言机设置或验证器实现等基础组件的微小失误会立即导致大规模资金流失。DeFi市场高度依赖Chainlink等外部价格信息源，因此加强设置变更时的监控、实施多重验证、完善部署前后检查体系，已成为遏制损失扩散的核心课题。

从预言机到验证器：微小失误引发百万级损失

此类事件表明，单个预言机配置错误就可能导致超额借贷，而ZK验证器的常量设置错误会形成"无需密钥"的状态，数百万美元的损失可能在瞬间发生。更令人担忧的是，攻击者能够实时监控设置变更，并在"出现错误后的下一个区块"立即发动攻击。

当前DeFi领域需要的不是"看似前景良好便托付资产"的盲目信任，而是用户自身需具备审视资产所依托架构（预言机/验证器）、识别潜在清算/坏账/锚定错误风险点（LTV/风险管理）的能力。

掌握架构知识是保护资产的关键

系统化学习课程着重于从架构层面理解预言机依赖型借贷协议的常见事故（价格反馈错误、抵押估值偏差、LTV崩溃）成因，并建立保护资产的实践标准。在这个一次预言机失误或验证器常量错误就可能直接导致钱包损失的市场中，若希望以"可验证的标准"而非投机心态对待DeFi，应当从理解基础架构开始系统学习。