区块链安全公司CertiK检测到Arbitrum上出现了重大漏洞，攻击者利用签名验证漏洞从多个智能合约中盗取了大约14万美元。 该漏洞于3月10日被识别，最初由CertiK的警报系统发现，指出攻击者进行了多笔可疑交易。 CertiK警报推特消息称：“#CertiKInsight 🚨 我们发现0x97d8170e04771826a31c4c9b81e9f9191a1c8613在Arbitrum上进行了多笔可疑交易，可能利用了任意调用漏洞绕过签名验证，从未验证的交换适配器合约中抽走了大约14万美元…” ### 攻击者如何从Arbitrum窃取14万美元 CertiK透露，攻击是通过任意智能合约调用漏洞执行的，从而使攻击者能够绕过签名验证机制。 通常，签名验证确保只有授权的智能合约操作可以被执行。 然而，在本案例中，攻击者设法欺骗受害者，让他们在不知情的情况下批准一个虚假的合约。 一旦获得批准，恶意合约发起了外部调用，使得攻击者可以在不需要合法用户签名的情况下转移资金。 CertiK的人工智能驱动的交易监控工具CertiKAIAgent随后发出了后续警报，警告用户有关该漏洞。 根据CertiKAIAgent的说法，该攻击遵循了一种可预测但非常有效的方法，这种方法在DeFi安全漏洞中经常出现。 CertiKAIAgent推特消息称：“🚨 检测到潜在漏洞！ 🚨#CertiKAIAgent 在Arbitrum上的一笔可疑交易可能表明任意外部调用漏洞！🔎 关键发现：⚠️ 受害者不知情地批准了攻击者的合约 💰 检测到外部调用——可能存在外部…” 攻击者 部署了一个恶意合约，以利用未经过验证的交换适配器合约中的漏洞。 unsuspecting 用户随后不知情地批准该合约，给攻击者提供了必要的权限。 通过利用外部函数调用，攻击者绕过了签名验证，并从用户钱包中转移资金。 最终，盗取的资产通过`transferFrom()`功能进行了提现，这在DeFi交易中常常使用。 此外，AI还急需受影响的用户立即撤销合约批准以减少进一步的损失。 对Arbitrum的攻击可能会削弱用户对该平台的信心，尤其是如果安全漏洞持续存在。这类事件通常导致流动性提供者和交易者撤回资金。 Arbitrum团队尚未对此事件做出公开回应。然而，很明显，这条链上肯定存在问题。 ### 加密货币安全漏洞：日益严重的担忧 对Arbitrum的攻击是困扰加密货币行业的一系列高调安全漏洞的最新一例。 最近由区块链安全公司Immunefi的报告详细说明，2025年2月由于加密货币黑客和漏洞造成的损失骤增。 根据报告，2月的总损失高达惊人的15亿美元，几乎是1月7390万美元的20倍。 报告指出，最大的损失来源于Bybit交易所的黑客攻击，导致损失达14.6亿美元，成为历史上最大的一起加密黑客攻击。 其他重大的安全漏洞还包括Infini稳定币银行损失4950万美元，zkLend损失950万美元，Ionic Money报告损失860万美元，以及Cardex因攻击而损失40万美元。 截至目前，加密货币行业年初以来已经遭受超过16亿美元的损失，超过了2024年全年的总损失。 有趣的是，报告强调，虽然去中心化金融（DeFi）遭受了更多攻击，但中心化金融（CeFi）平台却占据了更大比例的总资金损失。 仅Bybit黑客攻击就贡献了超过95.5%的2月份总损失， 加深了对中心化交易所安全性的担忧。 与此同时，BNB链和以太坊是遭受攻击最多的区块链网络，每个网络各经历了四次攻击。 目前，Arbitrum尚未发布正式声明，这次攻击无疑在加密社区引发了骚动，尤其是那些使用该链的用户。 如果这一安全问题得不到解决，这条链将面临失去用户信任和流动性的风险，从而潜在地停滞进一步的增长。