140萬美元一夜蒸發：未驗證合約如何成為黑客的自助提款機

去中心化交易所TMX在Arbitrum網路上的一個未經驗證合約遭到黑客攻擊，損失約140萬美元。根據CertiK的監測數據，黑客通過精心設計的重複操作，系統性地耗盡了合約中的USDT、wrapped SOL和WETH資產。這起事件再次暴露了DeFi生態中一個被嚴重低估的風險：未經審計驗證的合約就像沒上鎖的保險箱，等著被撬開。

黑客是怎麼做到的

黑客的攻擊手法並不複雜，但效率驚人：

• 鑄造TMX LP代幣與USDT配對
• 將USDT兌換為USDG
• 解除TMX LP質押
• 出售USDG換取更多資產
• 循環重複上述操作

這種"套利循環"之所以能成功，關鍵在於合約邏輯存在漏洞——黑客發現了可以反覆利用的價格差異或兌換機制缺陷。通過多次重複，最終把合約裡的流動性吸乾。

為什麼是"未驗證合約"

這裡的"未驗證"是一個關鍵詞。它意味著：

根據最新消息，許多新項目為了快速上線而跳過審計環節。這種做法看似節省成本，實際上是在賭概率——賭沒人會發現漏洞。而黑客恰恰就是那個會仔細審查的人。

這個案例說明什麼

從表面看，這是TMX的損失。但更深層的問題是：

DeFi用戶的防範意識不足

許多人參與流動性挖礦或交易時，很少會主動查證合約是否經過審計。相比之下，相關資訊中提到的Mutuum Finance項目之所以能吸引18600多名持有者，一個重要原因就是它完成了Halborn和CertiK的雙重安全審計。這形成了鮮明對比。

項目方的風險管理缺陷

未經驗證的合約上線本身就是一個紅旗。如果是正規項目，應該在功能完整後立即進行審計，而不是等出了問題再補救。

黑客的成本在下降

每次這樣的攻擊成功，黑客就積累了更多的"套路"。下一個未驗證合約可能面臨類似的風險。

後續需要關注什麼

• TMX項目方是否會發布官方聲明和補償計畫
• Arbitrum網路是否會加強對新合約的風險提示
• 這140萬美元的被盜資產是否會被追蹤和凍結
• 類似的未驗證合約還有多少處於風險狀態

總結

這起事件的核心啟示很簡單：在DeFi裡，合約驗證不是可選項，而是必選項。如果一個項目沒有經過正規安全審計就上線，那麼參與的每一筆資金都在賭項目方的代碼水平。而黑客恰恰就是那個最認真的"代碼審查員"。

對用戶來說，在參與任何DeFi項目前，先用Etherscan查一下合約是否有CertiK或OpenZeppelin等機構的審計報告，這一步不需要技術背景，卻能大幅降低風險。對項目方來說，審計的成本遠低於被攻擊的成本——140萬美元就是最好的教訓。