afiUSD Vault 安全事件报告

afiprotocol_xyz 发布于 2026-07-02 阅读 17

AFI Protocol 发布安全事件报告,详细描述了其 afiUSD Vault 在以太坊主网遭受的攻击。

图像

背景

在初步调查中,我们发现 2026 年 5 月 30 日(星期六),以太坊主网上的 afiUSD Vault 遭受了一次复杂且协同的网络攻击。我们的监控系统检测到一笔未经授权的交易,导致 afiUSD Vault 中的资产被抽走。

根据现阶段掌握的情况,此次攻击似乎涉及一场精心策划的社会工程学攻击,目标是我们协议团队的成员。攻击者伪装成一名独立安全研究人员,提交了一份附带有木马化 Foundry 概念验证测试套件的漏洞报告。

当为了验证而执行该概念验证时,隐藏的恶意代码在开发者的机器上被触发。该代码入侵了设备并获得了未经授权的远程访问。攻击者随后利用此访问权限执行了抽空金库的交易。

调查仍在进行中,我们正继续与相关安全专家和利益相关方合作,以确定入侵的全部范围、追踪资金流向,并实施额外的安全措施以防止未来发生类似事件。

时间线

图像

合约与钱包

图像

交易

图像

该事件导致 afiUSD 子金库中的多种加密资产被抽走,包括 Morpho、wildUSD、eUSDe、USDC、sAID、PT-apyUSD-18Jun2026、PT-reUSDe-25Jun2026 和 USDT。事件发生时,被抽走资产的总估值约为 483,760.34 美元。

图像

在未经授权的转账之后,攻击者将被抽走的资产转换为 DAI、sAID 和少量 ETH。我们的调查正在进行中,以追踪资金流向并确定攻击后资产流动的全部范围。

图像

攻击后资产明细:净资产价值为 479,770 美元,受滑点影响。

检测到该事件后,我们迅速暂停了受影响的 afiUSD 金库,并暂时冻结了存款和提款。采取此遏制措施是为了防止任何进一步的未经授权活动,并保护协议剩余资产。

随后对所有其他 AFI 金库和核心协议系统的审查未发现任何异常或入侵证据。根据现阶段掌握的信息,该事件似乎仅限于受影响的 afiUSD 金库。

事件发生后,我们立即成立了内部应急响应小组,并开始与领先的法证、安全和链上情报合作伙伴(包括 Quantstamp、Cantina 和 SEAL 911)密切合作。这些工作重点在于调查根本原因、追踪被盗加密资产,以及识别与未经授权转账相关的钱包。

我们也在与相关执法机构和生态系统合作伙伴协调,以支持正在进行的调查和追回工作。

任何掌握可能有助于识别攻击者或追回被盗资产信息的人,请通过 security@afiprotocol.xyz 与我们联系。

事件经过

该事件是一次复杂的多阶段攻击的结果,结合了社会工程学与木马化的概念验证测试套件。

攻击者最初通过提交一份看似可信的负责任的披露报告来建立信誉,该报告描述了金库合约中一个潜在的奖励分配抢先交易漏洞。报告引用了听起来合法的合约函数,遵循了标准的漏洞披露格式,并主动提出合作制定缓解措施。这些元素似乎是经过精心设计的,旨在鼓励我们的团队审查并执行附带的 PoC。

然而,所提交的 PoC 是恶意的。Foundry 配置文件启用了外部函数接口(ffi = true),允许测试套件在执行测试时运行任意系统级命令。

进一步调查发现,恶意载荷代码被注入到提交的测试套件中包含的一个修改过的 OpenZeppelin ERC20.sol 库文件的构造函数中。当继承自被篡改的代币实现的 MockERC20 测试合约在 forge test 期间初始化时,恶意构造函数会自动执行。

该载荷随后执行了一个远程 bash 脚本,并入侵了开发者的机器。攻击者随后利用被入侵的机器进行了未经授权的交易,导致受影响的 afiUSD 金库中的资产被抽走。

图像

图像

调查结果

在恶意概念验证执行约 4.5 小时后,攻击者利用被入侵的系统执行了清空金库的交易。这笔交易提取了受影响 afiUSD 金库中所有可访问的资产。

该事件本质上是精心策划且多阶段的。它绕过了当时已有的安全控制措施,通过入侵开发者的机器并滥用原本仅供安全合法协议操作使用的钱包权限。

我们与法证和安全合作伙伴合作进行的详细调查,进一步揭示了攻击者的方法、基础设施以及随后的资金转移情况。

主要发现包括:

  • 入口点:攻击者伪装成一名独立安全研究人员,使用化名“0x4non”和邮箱地址 0x4non@proton.me。攻击者提交了一份看似可信的漏洞披露报告,旨在说服团队运行附带的 PoC。
  • 攻击向量:攻击者交付了一个木马化的 Foundry 测试套件。测试配置使用 ffi = true 启用了 Foundry 的 FFI 功能,允许测试套件执行系统级命令。恶意载荷代码还被嵌入到一个修改过的 OpenZeppelin ERC20.sol 文件的构造函数中。当受影响的测试合约在 forge test 期间初始化时,恶意构造函数执行并获得了开发者机器的远程 shell。
  • 法证指标:法证证据指向托管在 http://5.181.181.20:9753/erc20.sh 的远程载荷脚本。截至本报告撰写时,该服务器已不再响应。
  • 资金转移:在金库被清空后,攻击者通过链上交换将价值约 252,000 美元的 DAI 转换为 ETH。攻击者随后向一个二级钱包发送了 0.101 ETH 的小额测试转账,之后将大约 150 ETH 存入 Tornado Cash,这显然是为了掩盖被盗加密资产的来源和流动。

初步归因指标

初步证据与更广泛的供应链攻击模式一致,这些攻击通过恶意的“安全披露”概念验证进行传播。根据安全合作伙伴的输入,此次事件中观察到的技术手段似乎与有组织威胁行为者针对加密协议和安全审查工作流程的活动相符。

图像

资金流动

在初始抽走后,攻击者:

  1. 通过链上交换将大约 $252,000 的 DAI 转换为 ETH。

图像

  1. 向二级钱包(0x2715e78fd65434c438ea3bbc06e6ea992fea7443)发送了 0.101 ETH —— 这符合在全面洗钱之前进行小额测试存款的行为模式。

图像

  1. 2026 年 6 月 7 日,从主要攻击者钱包向 Tornado Cash 存入了约 150 ETH。

图像

即时响应

在检测到异常活动后,我们立即启动了应急响应流程,并与内部团队成员、外部安全专家和链上情报合作伙伴共同成立了专门的指挥中心。

关键响应措施包括:

  • 金库暂停和遏制:我们迅速暂停了受影响的 afiUSD 金库,并暂时冻结了存款和提款。此措施将事件控制在局部,防止了通过受影响金库进行任何进一步的未经授权活动。
  • 聘请法证和安全合作伙伴:我们聘请了 Quantstamp 和 Cantina,以支持技术调查、分析攻击向量、追踪被盗资产流向,并识别与未经授权转账相关的钱包。
  • 生态系统和执法协调:我们将攻击者关联地址报告给了 SEAL 911,该组织协助将失窃地址标记并与中心化交易所、兑换服务提供商和相关生态系统合作伙伴共享。我们也在与相关当局协调,以支持正在进行的调查和追回工作。
  • 联系攻击者:我们尝试通过链上消息和其他可用渠道联系攻击者,以在白帽解决方案框架下协商归还资金。截至本报告发布,未收到任何回复。
  • 社区和利益相关方沟通:我们一直随着调查的进展持续向用户、社区成员、合作伙伴和其他利益相关方通报情况,包括遏制行动、追回工作和后续步骤的最新信息。

追回工作

追回用户资金仍是我们的首要任务。我们的团队继续与链上调查人员、安全合作伙伴以及整个生态系统中的相关当局密切协调,以追踪攻击行为并探索一切可能的追回途径。

我们衷心感谢受影响的用户、我们的社区和支持者在此艰难时期给予的持续支持、耐心和信任。我们正在评估所有可行的途径,为受影响者提供公平及时的解决方案,这基于我们对透明度、责任和长期生态系统韧性的承诺。

预防措施

此次事件凸显了实施更严格安全措施的重要性,特别是在开发者工具和外部代码处理方面。我们正在实施重大改进以降低未来事件的风险:

  • 加强外部代码和 PoC 的处理:所有第三方或不可信代码(包括安全报告的 PoC)应仅在隔离的沙盒环境(虚拟机)中进行审查和执行。
  • 依赖项和供应链完整性:在运行任何代码之前,验证库的完整性(例如,固定版本、校验和验证的依赖项),并扫描篡改文件和恶意模式。
  • 密钥管理改革:从本地开发者设备上移除私钥,将签名迁移到硬件隔离和访问控制的系统,并收紧操作员/部署者角色的权限。

致谢

我们衷心感谢支持调查和响应工作的安全研究人员、法证团队和链上情报合作伙伴,包括 Quantstamp、Cantina、SEAL 911,以及迅速协助分析和追踪的社区贡献者。

我们特别感谢受影响的用户、社区成员、合作伙伴和支持者在这个困难时期给予的信任、耐心和理解。在我们进行调查、追回工作和实施额外防护措施的过程中,他们的持续支持是无价的。

展望未来

安全仍然是 AFI 协议以及我们正在构建的生态系统的基石。虽然此次事件很严重,但它强化了我们改进运营安全、加强内部控制以及继续以透明和负责任的方式进行建设的承诺。

我们认真对待此次事件的教训,并正在实施额外措施以降低未来发生类似事件的可能性。我们的重点仍然是保护用户、支持追回工作,并以更强的安全态势重建更坚固的协议。

我们仍然感谢用户、社区、合作伙伴和支持者持续的信任和支持。

  • 原文链接: x.com/afiprotocol_xyz/st...
  • 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~

相关文章

0 条评论