大家好！如果你对加密货币或去中心化金融（DeFi）感兴趣，你可能听说过最近发生的 WebKeyDao 攻击事件。2025 年 3 月 15 日，安全公司 BlockSec Phalcon 在 X（原 Twitter）上分享了一个详细的帖子，讲述了这次攻击的经过，这是一个引人入胜（且具有警示意义）的故事。让我们用简单的语言来分解一下。

WebKeyDao 发生了什么？

WebKeyDao 是一个建立在币安智能链（BSC）上的项目，遭到攻击者的袭击，损失约 73,000 美元。这次攻击的发生是由于 WebKeyDao 的一个智能合约存在漏洞——一个未受保护的 “buy”（购买）函数。这个函数允许攻击者以极低的价格使用 1,159 个 BUSD（Binance USD，一种稳定币）购买 wkeyDao 代币。然后，他们在一个去中心化交易所（DEX）上出售这些代币，获得了 10 倍的巨额利润，净赚 13,167 个 BUSD。真是糟糕！

BlockSec Phalcon 在他们的 X 帖子 中分享的分析，展示了攻击者是如何完成这次攻击的。他们利用这个漏洞廉价地铸造了 230 个 wkeyDao 代币，并迅速出售以获取利润。有趣的是，这个存在漏洞的合约已经被修复，所以它不能再被利用了。这就是为什么 BlockSec Phalcon 现在与社区分享完整的故事——帮助其他人学习并保持安全。

攻击者是如何实施攻击的？

核心问题在于智能合约的 “buy” 函数，位于合约地址 0xD5110...CD851。这个函数没有足够的安全检查来阻止他人操纵它。根据 BlockSec Phalcon 的说法，该合约使用 1,159 个 BUSD（存储在一个特定的存储槽 0x9c 中）来铸造 230 个代币（存储在槽 0x9e 中）。攻击者通过以低价购买代币，然后在 DEX 上出售以获取巨额利润来利用这一点。

BlockSec Phalcon 的帖子包括一些技术截图，例如代码片段和交易日志，显示了该漏洞是如何工作的。例如，他们突出显示了 buy 函数的代码，以及它如何缺乏防止此类操纵的保护。甚至还有一个攻击者行为的逐步分解，包括一个他们设置销售信息以使攻击成为可能的交易。

为什么损失没有变得更糟？

这里有一线希望：WebKeyDao 的智能合约有一个安全网。它包含一个 67 个代币的销售阈值，这阻止了攻击者耗尽整个 1100 万美元的流动性池。如果没有这个阈值，损失可能会更惨重——可能高达 737,000 美元！这表明即使安全措施并不完美，拥有安全措施也是至关重要的。

这对 DeFi 意味着什么？

这次攻击提醒我们 DeFi 世界中存在的风险，尤其是在像币安智能链这样的平台上。智能合约就像 DeFi 项目的支柱，但如果没有经过适当的审计，它们可能存在漏洞或缺陷。WebKeyDao 事件并非个例——其他 DeFi 项目也面临着类似的攻击，例如 CryptoBriefing 上关于 DeFi 漏洞的文章 或 CryptoKnowmics 上关于币安智能链合约风险的文章 中提到的那些。

对于加密货币领域的人来说，这是一个警钟，要仔细检查你参与的任何 DeFi 项目的安全性。像 WebKeyDao 这样，其智能合约在 GitHub 上开源的项目，可以进行审计，但不是每个人都会彻底地进行审计。BlockSec Phalcon 在这里的透明度非常有帮助——这就像为开发者和用户提供的一堂免费课程。

最后的想法

WebKeyDao 的攻击事件令人沮丧，但也是一个学习的机会。BlockSec Phalcon 在 X 上的详细分析展示了在 DeFi 中事情会以多快的速度出错，以及为什么安全至关重要。如果你对细节感兴趣，请查看他们的完整帖子，了解更多技术细节，包括交易链接和代码分析。

目前，请密切关注你投资的项目，并在没有检查其安全性的情况下，三思而后行再进入一个新的 DeFi 代币。在加密货币世界中保持安全！