大家好，如果你深耕区块链和 meme 代币领域，应该已经听到近期影响 Seedify Fund 的黑客事件的讨论。Seedify 是一个热门的游戏与元宇宙项目发射台，其原生代币 SFUND 驱动着生态。但在 2025 年 9 月 23 日，他们的桥合约遭到入侵，情况变得非常严重。下面我们一步步拆解，尽量用简单明了的方式说明事情经过。

事件始于 Seedify Fund 创始人 Meta Alchemist 的一则声明。他在 X 上透露，他们的一座 SFUND 桥被黑，资金被抽空。他强调这些合约已审计并且运行平稳超过三年，同时他们已联系 LayerZero——其跨链技术提供方——寻求帮助。团队承诺会配合执法机构和网络安全专家追查肇事者。你可以在这里查看原始声明 here。

不久之后，区块链安全公司 BlockSec 的 Phalcon 团队在 X 上发布了详尽分析。根据他们的线程，此次攻击波及多条链，看起来源于私钥被泄露或被盗。私钥本质上是控制加密钱包和智能合约访问权限的秘密代码——一旦被窃取，攻击者就能造成严重破坏。

事情经过如下：攻击者使用地址 0x8030f5bF186d69627aA220FF7d486fd8c8818c56，首先夺取了目标链（如 Base）上 SFUND_OFTv1 合约的所有权。OFTv1 代表 Omnichain Fungible Token version 1，是 LayerZero 的一种标准，允许代币在不同区块链之间无缝移动。

控制权到手后，黑客利用 setTrustedRemoteAddress 函数将一个恶意合约（0xffad4bD0fA118010bA01a3C69C9Ed7fF460E943e）指定为受信任来源。这个狡猾的操作使得来自源链（例如 Polygon）的伪造跨链消息能够在目标链上被验证并执行。结果是：攻击者非法铸造或转移了 SFUND 代币，然后将其兑换成其他资产，揣入腰包。

Phalcon 在分析中列出了关键步骤：

Ownership takeover：黑客将合约控制权转移到了他们的地址。查看 Base 上的交易详情 here。
Setting the malicious trusted remote：这一步将合约更新为信任攻击者伪造的地址，用于跨链通信。查看相关交易 here。
Cross-chain request from Polygon：伪造的消息被发送以触发漏洞利用。查看交易 here。
Profits cashed in on Base：攻击者最终获得了 SFUND 代币，并很可能将其抛售换取稳定币或其他加密资产。