Polygon链上再传安全事件:旧合约漏洞遭利用
近日,Polygon网络上一份名为Royalties的旧智能合约成为攻击目标。根据区块链安全监测机构TenArmorAlert发布的消息,该合约在一次可疑交易中被利用,导致约26.12万美元的资产损失。
攻击细节与链上痕迹
攻击交易的具体哈希已被公开披露,为后续分析和追踪提供了关键线索。TenArmor表示,其监测系统在此次事件中实现了对异常活动的早期识别,并触发了自动化响应机制。
此次事件并非针对合约最新版本的攻击,而是利用了此前已部署的、可能已被开发者团队弃用或遗忘的旧合约。这再次暴露了区块链生态中一个常被忽视的风险点:遗留合约的安全维护。
老旧合约:被遗忘的安全隐患
随着项目迭代升级,早期部署的智能合约往往不再被主动维护,但其代码仍永久存在于链上。攻击者时常通过扫描区块链历史,寻找这些存在已知漏洞或设计缺陷的旧合约进行攻击。
- 风险集中:旧合约可能仍持有用户资产或权限。
- 关注度低:开发团队和安全社区的注意力通常集中于当前活跃合约。
- 修复困难:智能合约的不可变性使得已部署的漏洞难以直接修补。
行业反思与防御建议
此次Royalties合约事件为整个Web3行业敲响了警钟。它提醒项目方,安全生命周期管理应涵盖从部署到弃用的全过程。
对于项目团队而言,建立完整的合约资产管理清单,对不再使用的旧合约进行明确的资产清空和权限销毁,是降低此类风险的必要步骤。同时,持续的安全监控应覆盖项目所有历史合约,而非仅限当前版本。
对于投资者和用户,在参与任何DeFi协议或链上应用前,除了审计报告,也应关注项目是否存在未被妥善处理的遗留合约,这同样是评估其整体安全状况的重要维度。