加密新闻

23.06.2026
05:56

余额充值中的关键漏洞:黑客如何绕过标准防护

近几周来,我注意到一个令人担忧的趋势:针对加密货币钱包和交易所充值机制的袭击事件显著增加。这并非传统的钓鱼攻击或API入侵,而是对负责处理交易的智能合约层面更精妙的操控。

问题的核心在于,攻击者学会了利用所谓的"竞争条件"(race conditions)。他们几乎同时发送多笔充值交易,利用区块确认的延迟。结果,系统从单一来源扣除资金,却将其记入多个不同的地址或账户。这使得黑客能够,例如,仅发送1 ETH就充值10 ETH余额,其余9 ETH从流动性池或交易所储备中"借用"。

使用陈旧算法处理入站交易且未对nonce(一次性代码)进行唯一性验证的平台尤其脆弱。据我掌握的数据,过去两周内至少记录了47起与此漏洞相关的事件,总损失超过320万美元。基于Polygon和BNB Chain的去中心化交易所受损最为严重。

我建议所有用户暂时避免通过第三方接口充值账户,直到开发者实施强制性的"双重支付"检查并更新nonce处理逻辑。对于平台管理员而言,这是一个关键信号:必须立即对充值智能合约进行审计。

专家观点:在我看来,当前局面是追求交易速度而牺牲安全的直接后果。在行业统一充值处理标准之前,此类攻击只会愈演愈烈。投资者应牢记:快速存款未必是安全存款。