區塊洞察第3期：bZx攻擊事件解析、DeFi安全漏洞探討，以及加密貨幣簽帳卡市場現況

2026-01-08 19:50:42

區塊鏈

DAO

DeFi

穩定幣

文章評價 : 4

77 個評價

深入剖析bZx平台閃電貸攻擊事件，以及其對DeFi產業造成的重大影響。本文將詳細解析攻擊流程，探討去中心化協議中的安全漏洞，並歸納加密生態系統在防範此類攻擊上的關鍵經驗。

區塊洞察第3期：bZx攻擊事件解析、DeFi安全漏洞探討，以及加密貨幣簽帳卡市場現況

bZx攻擊分析與DeFi安全漏洞解讀

DeFi（去中心化金融）正逐步顛覆傳統金融工具的網路應用模式，使金融服務變得更為開放、可程式化，人人皆可參與。就像網際網路讓資訊創造、分享與程式設計變得無門檻，DeFi也正引領資金與金融產業邁向同樣的變革。

DeFi產品具備無需信任、全球可用、程式碼公開透明、不可竄改等特性。除此之外，產品間高度可組合，開發者可在現有架構基礎上持續創新，如同拼接樂高積木般，建構遠超單一模組的金融生態系。

背景介紹

在這個新興環境中，任何人皆可透過程式設計打造金融應用。目前已形成流動性強、功能多元的金融工具網路，為創新與實際應用提供肥沃土壤。例如，DeFi首創閃電貸（Flash Loan），用戶能在單筆交易內無需抵押借出數百萬美元。若交易結束時資金未歸還，整筆交易即自動回滾，用戶不承擔資金風險，可靈活調度大額資本以因應各種需求。

bZx攻擊事件回顧

BZx（又稱Fulcrum）是一個DeFi平台，主打代幣化借貸與槓桿交易。用戶可向bZx資金池注入資本進行借貸，亦能透過槓桿操作多空各類資產。該平台整合多種DeFi協議，充分發揮高度可組合性的優勢。

本次攻擊的核心是一筆極為複雜的閃電貸操作。攻擊者借出千萬美元資金，透過多個DeFi協議流轉，精準操控並攻擊bZx抵押池。具體流程如下：

攻擊者經去中心化借貸協議（組件1）以閃電貸方式借出1,000萬美元ETH，無需抵押。
將其中500萬美元ETH在bZx的ETH-wBTC訂單簿開設5倍槓桿空頭部位（組件2）。bZx將訂單轉至流動性聚合器（組件3），聚合器選擇最佳匯率，最終於去中心化交易所完成（組件4），導致巨大滑價，wBTC價格被推升至原價3倍。
將剩下的500萬美元ETH轉入另一借貸協議（組件5），以ETH為抵押借出一定數量wBTC。
將借得wBTC於去中心化交易所以高價出售。
利用第4步的收益及第2步的收入，全額歸還閃電貸，完成交易。

本次操作直接獲利71 ETH，並於另一協議取得價值1,200 ETH的貸款，合計淨收益1,271 ETH（當時約35.5萬美元）。此交易亦導致bZx產生重大虧損的貸款部位，即所謂損失來源。

關鍵機制在於，攻擊者能在流動性極低的訂單簿上以5倍槓桿做空，造成巨大滑價。bZx原本應有防護措施，但攻擊者巧妙利用錯誤規避偵測，導致抵押池損失慘重，其餘協議則依預設邏輯運作並未受損。

事件影響及第二次攻擊

攻擊後，bZx團隊以超級管理員密鑰暫停平台交易與借貸，並迅速修復底層漏洞。社群討論、平台恢復運作後，第二次攻擊以相同模式再度發生。

此次攻擊與第一次類似，唯不需規避滑價限制。攻擊者利用閃電貸將Synthetix USD於去中心化交易所價格推升至2美元（正常為1美元），隨即以高價sUSD作為抵押存入bZx，超額借出ETH，最終不歸還虧損貸款，獲利2,378 ETH（扣除閃電貸後），當時市值約63萬美元。

此次事件屬於「預言機攻擊」，即操控可信價格數據。攻擊者以閃電貸拉高去中心化交易所ETH-sUSD現價（即預言機參考價），bZx據此認定抵押物價值並發放貸款。

DeFi安全思考

DeFi催生嶄新金融產品，藉創新方式相互組合。然而這些攻擊提醒我們，程式化金融本質仍易產生漏洞，尤其在技術快速迭代之下。現階段，閃電貸與複雜DeFi協議組合已導致新型安全隱憂。

歷史經驗指出，新漏洞出現後，常引發大量仿效攻擊，業界會集中尋找類似弱點。未來預言機加閃電貸攻擊將更常見，這也是DeFi逐步強化韌性的過程。

例如，DAO駭客事件揭露重入漏洞後，產業快速總結並防範，如今重入攻擊已不再普遍。這是產業進化的結果，漏洞被發現並迅速修補，生態系越趨穩固。

我們不該期望DeFi能根絕所有攻擊，但可透過「縱深防禦」機制提升安全性，多層冗餘保護架構增強產業韌性。同時，消費者保障與保險機制亦須持續優化。值得注意的是，某DeFi保險產品DeFi已於bZx攻擊後首次完成理賠，為產業帶來正面訊號。

DeFi去中心化現況

bZx團隊仰賴超級管理員密鑰暫停營運，反映中心化控管現象。此舉雖能防止損失擴大，卻帶來新風險——密鑰若遭濫用或外洩則威脅平台安全。消除單點控管是加密產業的核心理念，該如何取捨？

事實上，去中心化需循序漸進。新興DeFi服務不宜一開始就完全去中心化，否則一旦出現漏洞將難以及時修復，危及專案存亡。協議應依安全運維記錄逐步提升去中心化程度，確保風險可控。

核心結論

DeFi持續拓展創新邊界，推動可程式化金融產品落地。新產品崛起令人振奮，但安全漏洞亦不可忽視。應以全局視角審視產業發展——攻擊事件在所難免，正是這些挑戰推動產業不斷完善，最終有望形成健全、強大的消費者保障生態。

加密借記卡產業現況

自中本聰發表比特幣白皮書以來，「消費」始終是推動加密貨幣實用性的主要動力。加密投資人持續探索如何以加密資產進行線下消費。加密借記卡因高度類似傳統借記卡，只是扣除加密餘額而非銀行帳戶餘額，成為理想選擇。

產業發展

加密借記卡歷經多次嘗試，某主流平台率先推出首張加密借記卡，首次讓用戶可在全球Visa商戶以比特幣餘額消費。可惜該產品由第三方支付處理商發行，非自有品牌。

隨後BitPay、Bitwala、Wirex、Coinsbank等陸續跟進。ICO熱潮期間，TenX、Token Card（現更名Monolith）、Monaco（現crypto.com）等公司以加密借記卡為核心主打創新產品。TenX於ICO 7分鐘內募得8,000萬美元，Token Card和Monaco分別募得1,270萬與2,700萬美元，反映市場強烈需求。各公司以更低費用、更佳體驗及獎勵機制等方式差異化競爭。

當時僅少數支付處理商願意發行借記卡，部分卡專屬某處理商，其他則由不同廠商發行。用戶實際採用有限，部分產品未形成主流市場，因多數人更傾向持有比特幣而非消費，受價格波動與投資屬性影響。現今，隨生態成熟及穩定幣興起，綜合型加密借記卡可望取得更大市場。

近年某處理商轉型並更名，著手於英國推出新借記卡。大多數其他借記卡則因VISA以「違反營運規範」撤銷某處理商資格而被迫停用。

展望未來，穩定幣（如USDC）所帶來的獎勵機制將推升加密借記卡新一波增長。某主流平台近期成為Visa主要合作會員，可於歐盟直接發卡，無需依賴贊助銀行，具有里程碑意義。

區塊鏈熱門新聞點評

以太坊協議升級引發社群爭議

近期，以太坊針對挖礦機制升級引發治理爭論。ProgPow（漸進式工作量證明）目的是提升消費級硬體挖礦能力，削弱ASIC（專用晶片）主導地位。

實施ProgPow可讓更多用戶參與挖礦，提升以太坊去中心化程度，回歸抗ASIC初衷。

但此提案爭議性高且問題複雜。首先，ProgPow會降低網路安全所需算力（GPU效能遠低於ASIC），理論上使以太坊更易遭遇51%攻擊。此外，無論何種演算法都無法完全抗ASIC，針對ProgPow的專用ASIC遲早會問世。許多業界人士認為ASIC對PoW網路安全至關重要（尚無遭51%攻擊的ASIC幣種）。

此外，任何具爭議的分叉都需謹慎處理。當前產業環境已不同於以往，DeFi納入USDC、USDT等實體資產，可能進一步降低Ethereum分叉成功率。

經過長期討論，ProgPow近期獲准並規劃上線，但激烈社群反對最終令提案再度擱置。

Tron遭指「惡意接管」Steem區塊鏈

Steemit區塊鏈（類似Reddit的社群新聞平台）日前宣布與Tron達成合作，平台將遷移至Tron鏈。Steem社群憂慮Tron基金會掌握過多治理權，迅速推動軟分叉以禁用Tron的治理權限。

Tron隨即聯合多家大型交易所（含主流平台）推動硬分叉，恢復治理權並凍結部分社群成員代幣。Steem社群認定Tron此舉為惡意接管。

Steem採用委託權益證明（DPOS）機制，各大交易所用戶存款成為推動Tron分叉的關鍵票源。某主流交易平台負責人坦言批准分叉，但未掌握爭議細節，事後已對Tron表達不滿。

此事再次凸顯區塊鏈治理的難題。一方面，DPOS鏈治理規則明確——多數票決定結果，Tron依規則取得主導。另一方面，區塊鏈價值歸屬用戶，用戶終將掌握經濟權力。Steem社群成員正藉停用應用、基金會成員辭職、支持社群優先驗證節點等方式反擊。

同時，交易所及託管機構在區塊鏈治理中影響力持續攀升，掌握大額資產，取得重要話語權。未來，中心化平台可望提供更多治理工具。