事件概述：IPOR Fusion Vault 被攻击，33.6 万美元 USDC 被盗

关键信息：

黑客利用 Arbitrum 平台上的漏洞攻击了 IPOR Fusion Vault，导致 336,000 美元 USDC 被盗。

此次攻击仅影响了 Fusion 总资金的不到 1%，其他金库未受影响，依然安全。

IPOR DAO 将对受影响的储户进行全额赔偿，并与多家安全公司合作追回被盗资金。

事件详情

2026年1月6日，IPOR 团队收到警报，称 Arbitrum 平台上的 USDC Fusion Optimizer Vault 出现异常交易。经过快速调查，确认攻击导致某个旧版金库中价值 33.6 万美元的 USDC 被盗。幸运的是，这一损失仅占 Fusion 总资金的一小部分，其他金库未受波及。

Hexagate 和 Blockaid 等安全公司迅速介入，协助团队及早发现并控制了事件的影响范围。目前，SEAL 正在协助进行资产恢复工作。此次攻击表明，即使是传统智能合约中的微小配置错误也可能引发严重的安全问题。

来源：官方 X

攻击手段分析

此次漏洞的根本原因在于旧版金库中存在的安全隐患：

金库逻辑错误：受影响金库的 instantWithdraw 方法缺乏必要的验证机制，导致未经身份验证的熔丝（执行取款操作的逻辑模块）能够运行任意代码。

管理员账户委托（EIP-7702）：管理员账户将其权限委托给一个具有广泛调用功能的合约。攻击者利用这一点伪造了交易授权。

恶意熔丝注入：攻击者通过上述权限注入了一个恶意熔丝。由于缺乏熔丝验证机制，该恶意熔丝成功提取了 336,000 USDC 并转移到攻击者的地址。

来源：X

为何该金库存在漏洞？

此次攻击针对的是一个遗留系统，该系统部署于实施更严格的熔丝验证策略之前约 490 天。存在漏洞的 EIP-7702 委托合约仅应用于少量较旧的熔丝库。相比之下，较新的熔丝库具备更严格的验证机制，因此能够有效防止类似攻击。

简而言之，缺乏适当的验证机制和滥用委托权限共同造成了这一特殊漏洞，而这种漏洞在其他金库中无法复制。

IPOR 的应对措施

事件发生后，IPOR 团队迅速采取行动，确保用户资金的安全：

追回工作：团队正与 Hexagate、Blockaid 和 SEAL 合作，监控资金流向并尝试追回被盗资产。

补偿计划：IPOR DAO 国库将承担全部损失，所有受影响的储户都将获得全额退款。

安全保障：Fusion Vault 的其余部分未受影响，继续为用户提供安全服务。

此外，IPOR 承诺发布一份详细的调查报告，说明此次事件的原因以及未来将采取的预防措施。

未来展望

尽管此次事件的直接影响已被控制，但它再次提醒我们，使用传统智能合约存在一定风险，尤其是在二层网络环境中。

未来，IPOR 计划加强对验证流程和委托程序的审查，并与安全公司保持密切合作，以杜绝类似漏洞的发生。

总结

IPOR Fusion Vault 漏洞虽小，却极具警示意义。由于旧版配置错误，导致 33.6 万美元的损失，但 DAO 的全额退款举措凸显了去中心化自治组织在危机处理中的重要作用。同时，这也再次强调了智能合约安全的重要性。

免责声明：本文并非投资建议。投资前请务必自行研究。CoinGabbar 对任何财务损失概不负责。加密资产波动性极高，您可能会损失全部投资。