Typus Finance(DeFi) 平台遭遇重大攻击,导致攻击者盗取约344万美元资产。该事件波及TLP流动性池,源于预言机模块存在漏洞,使攻击者得以篡改价格数据。该公司发布了详细报告,分阶段描述了事件经过,并宣布在调查结束前全面暂停所有智能合约的运行。
攻击始于10月15日世界协调时间13:05。在发现可疑活动迹象后的19分钟内,Typus团队立即暂停协议运行,查明问题根源并通知Sui基金会。截至14:54,官方通报已提交至执法机构。报告显示,攻击者从TLP提取了588,357.9 SUI、1,604,034.7 USDC、0.6 xBTC及32,227 suiETH。但用户个人钱包中的资金以及SAFU基金和DeFi期权保险库中的资产均未受影响。
泄露源于2024年11月13日部署的合约包中,预言机模块update_v2函数遗漏了验证操作符。该漏洞使任意地址得以绕过授权机制更新价格数据。两个组织因素加剧了问题——该模块未被纳入2025年5月MoveBit审计的可验证组件清单,且Sentio监控系统未配置为对这类事件立即响应。
开发人员强调,损失仅限于TLP,未波及其他产品。DeFi期权保险库中的自动交易程序在执行前会通过独立预言机核对报价,从而阻止了价格操纵企图。此外,持仓的抵押品存储于独立合约中,与TLP无关联,因此安全无虞。
攻击发生后,Typus Finance立即冻结所有操作,并联合安全合作伙伴——Sui Foundation、Mysten Labs、MoveBit、SlowMist和Hypernative——共同调查并追踪资金流向。团队正在准备经过全面修订和审计的智能合约,并讨论针对流动性提供者的内部补偿方案。关于赔偿机制的单独声明将稍后发布。
项目代表强调,Typus Finance计划提升安全防护水平,并将持续向社区通报调查进展及恢复措施。
攻击后续
据Typus Finance 宣布,TLP 赔偿领取现已开放,适用于 SUI、USDC 和 xBTC。用户可根据 v2 恢复计划的分级方案,在 Typus Perps 页面领取首轮现金分配:损失低于 1 万美元:赔付 100%;损失在 1 万美元及以上 / 10 万美元及以上:赔付 50% / 30%。此前,Typus Finance 称其 TLP 合约因预言机漏洞(缺乏权限校验)遭到攻击。
Acunetix Acunetix Premium AI appscan AppScan Standard(标准版) HCL AppScan WebTest 云安全 五角大楼 人工智能 人类心理学 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 安全漏洞 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 暗网 木马病毒 欺诈管理和网络犯罪 民族国家攻击 漏洞和威胁 特朗普政府 特朗普的 2026 财年预算 社会工程学 移动安全 端点安全 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 脆弱性 间谍软件