2 月加密货币领域因安全事件损失约 2.28 亿美元

零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2026 年 2 月加密货币领域安全态势整体平稳但风险突出：当月因安全事件造成的总损失约 2.28 亿美元，其中黑客攻击与合约漏洞相关的损失约 1.26 亿美元，钓鱼诈骗及 Rug Pull 相关损失约 1.02 亿美元。协议黑客攻击共发生 18 起，损失较上月下降 9.2%；钓鱼与授权劫持类诈骗事件共发生 13 起，占当月总事件数的 41.9%，其中多起 AI 仿冒钓鱼事件造成大额损失，成为推动诈骗类损失走高的主要原因。黑客组织攻击重心持续向低成本、高收益的社会工程学攻击倾斜，结合 AI 生成页面的精准钓鱼手法愈发普遍，个人投资者及中小型项目成为主要攻击目标。

黑客攻击方面

典型安全事件 6 起

• CrossCurve 跨链桥合约验证漏洞攻击

损失金额：约 300 万美元

事件详情：2 月 1 日 - 2 月 2 日，去中心化跨链协议 CrossCurve 遭遇黑客攻击，攻击者利用 ReceiverAxelar 合约的 expressExecute 函数存在的网关验证绕过漏洞，伪造跨链消息，未经授权从协议的 PortalV2 合约中解锁并盗取代币，涉及多条链，总损失约 300 万美元。事件发生后，CrossCurve 团队紧急暂停跨链服务，修复漏洞，并公布 10 个接收被盗代币的地址，提出 72 小时内归还资金可获得 10% 赏金的方案，目前已成功控制局势，部分被盗 EYWA 代币因交易所冻结无法流通。

• Vibe Coding 智能合约 AI 代码漏洞攻击（Moonwell 协议）

损失金额：约 178 万美元

事件详情：2 月 18 日，DeFi 协议 Moonwell 遭黑客攻击，核心原因是其使用 Claude Opus 4.6 生成的智能合约代码存在致命漏洞，将 cbETH 资产价格错误设定为 1.12 美元（实际约 2200 美元），黑客利用该价格偏差过度借贷，造成约 178 万美元损失。安全研究员曝光该事件为历史上第一起由 Vibe Coding 引发的链上安全事故，事件发生后，项目方下架相关合约，启动漏洞修复，并加强 AI 生成代码的人工审计环节。

• YieldBloxDAO 预言机操纵攻击

损失金额：约 1000 万美元

事件详情：2 月 21 日，Stellar 链上借贷协议 YieldBloxDAO 遭到黑客攻击，攻击者通过操纵底层流动性代币价格，利用预言机异常喂价实现恶意超额借贷，最终造成约 1000 万美元资产损失。事件发生后，项目方暂停协议服务，并联合安全机构开展资产溯源与漏洞修复工作。

• IoTeX 代币保险库私钥泄露攻击

损失金额：约 440 万美元

事件详情：2 月 21 日，IoTeX 生态 ioTube 跨链桥遭遇黑客攻击，攻击者通过获取以太坊侧验证者所有者私钥，成功入侵跨链桥相关合约，盗取池内各类加密资产。IoTeX 官方多次更新通报，确认此次攻击实际损失约 440 万美元，其中 99.5% 异常铸币已被拦截或永久冻结。事件发生后，项目方紧急暂停跨链桥及相关交易功能，启动主网版本升级，封禁 29 个恶意地址，并联合 FBI 及多国执法机构开展全球资产追踪，承诺对受影响用户 100% 全额赔付，目前已全面恢复运行。

• FOOMCASH 模仿攻击事件

损失金额：约 226 万美元

事件详情：2 月 26 日，Base 链和 Ethereum 链上的 FOOMCASH 项目遭遇模仿攻击（copycat attack），攻击者利用与此前 Veil Cash 事件类似的 zkSNARK 验证密钥配置错误（Groth16 验证器参数设置不当），成功伪造证明并盗取大量代币。其中，Base 链损失约 42.7 万美元，Ethereum 链损失约 183.3 万美元（部分资金疑似被白帽救援），总损失约 226 万美元。事件发生后，项目方紧急暂停相关服务，展开调查。

• Seneca DeFi 协议任意调用漏洞攻击

损失金额：约 650 万美元

事件详情：2 月 28 日，DeFi 协议 Seneca 因存在任意调用漏洞遭到黑客攻击，初步统计损失超 1900 枚 ETH，价值约 650 万美元。攻击发生后，标记为 SenecaUSD 黑客的地址已将 1537 枚 ETH（约 530 万美元）返还至 Seneca 部署者地址，剩余 300 枚 ETH（约 104 万美元）被转移至新地址，目前项目方正开展漏洞修复及资产核查工作。

Rug Pull / 钓鱼诈骗

典型安全事件 8 起

(1)  2 月 10 日，0x6825 开头地址的受害者在 BSC 上签署了一笔恶意的“increaseAllowance”交易，导致价值 118,785 美元的 BUSD 损失。大多数人会留意授权签名和批准请求，但“increaseAllowance”其实是同样的陷阱，只是名称不太常见。

(2)  2 月 17 日，地址中毒/相似收件人再次来袭。在以太坊上，0xce31…b89b 向错误的近似匹配地址发送了大约 599,714 美元。 

预期：0x77f6ca8E…a346

错误：0x77f6A6F6…A346

(3)  2 月 18 日，0x308a 开头地址的受害者签署了恶意 USDT 批准 (approve(address,uint256))，导致约 337,069 美元的 USDT 转移到诈骗者钱包中。

(4)  2 月 18 日，一名受害者在复制受污染的转账历史记录后，向一个相似的地址发送了 15.7 万美元。

预期：0xa7a9c35a…03F0 → 发送至：0xa7A00BD2…03F0

(5)  2 月 25 日，0xb30 开头地址的受害者在以太坊上签署钓鱼令牌批准后损失了 388,051 美元。

(6) 硬件钱包仿冒验证钓鱼诈骗

时间：2 月 12 日

事件性质：黑客伪造某主流硬件钱包官方验证页面，通过邮件、短信发送 “钱包安全风险预警”，诱导用户输入助记词、私钥进行 “安全验证”，成功获取多名用户的助记词，盗走账户内资产，累计损失约 95 万美元。

(7)  虚假 DEX 地址劫持 Rug Pull

时间：2 月 17 日

事件性质：黑客通过篡改用户转账地址、伪造 DEX 交易界面，诱导用户向虚假地址转账，待用户完成转账后，立即将资金归集至多个匿名地址，累计损失约 60 万美元 USDT，涉及受害者超 200 人，据监测，此次攻击单个受害者最高损失约 60 万美元。

(8)  假冒 Uniswap 官方钓鱼网站诈骗

时间：2 月 19 日 – 2 月 26 日

事件性质：黑客购买谷歌搜索广告，搭建与 Uniswap 官方界面高度一致的钓鱼网站，通过社交媒体广告、私信引流，诱导用户点击链接并完成授权，使用 AngelFerno 钱包清空工具批量窃取用户账户内的加密资产，部分受害者因虚假域名与真实网址视觉难以区分而受骗，单月受害者超 1000 人，累计损失约 180 万美元。

总结

2026 年 2 月区块链安全风险呈现合约攻击仍高发、诈骗手段持续精细化的特点。黑客攻击主要集中在预言机操纵、跨链桥安全、合约权限漏洞及代码缺陷等方向，漏洞复用与模仿攻击开始增多，对中小型协议威胁显著上升。

诈骗端依旧以钓鱼授权、虚假官网、资金盘跑路为主要手段，AI 仿冒页面与广告劫持进一步提升了诈骗隐蔽性，普通用户识别难度持续加大。

零时科技安全团队建议：个人用户谨慎授权、核对官方地址、远离不明链接与高风险项目；项目方应强化合约审计、私钥管理与权限隔离，重视预言机与跨链场景安全；行业层面加强威胁情报共享，提升全链条防御能力，共同维护生态安全。

来源：金色财经