币圈界报道：

mySwap因恶意代币入侵致30.5万美元资产流失

Starknet生态内的去中心化交易平台mySwap遭遇严重安全事件，其集中流动性池因被恶意代币操控而遭受约30.5万美元的经济损失。攻击者部署虚假资产凭证，利用协议记账机制缺陷，实现对共享金库的非授权访问。

恶意代币渗透记账层引发跨资产提取

此次攻击核心为一种名为EVIL的伪造代币，该代币被用于扭曲mySwap协议中与集中流动性池及共用资金池相关的状态验证路径。被盗资产涵盖137.96枚ETH、45,000枚USDC、19,900枚USDT以及230,000枚STRK。

攻击未涉及私钥泄露或管理员权限滥用，而是基于无许可交互的逻辑漏洞，通过精心设计的代币操作触发系统内部状态异常，从而从多池流动性的共用金库中非法提走真实资产。

记账逻辑失守成新型攻击突破口

mySwap采用集中流动性模型，鼓励用户将资金锁定于狭窄价格区间以提升资本效率。然而，这一机制依赖精确的状态同步——包括池子余额、金库持有量与流动性提供者权益之间的实时一致性。

EVIL代币充当了进入底层记账系统的入口。攻击者并未仅进行无效交易，而是利用其特殊构造影响系统对资产归属的判断逻辑，进而绕过常规风控，直接调用金库中的真实资产。

最终造成多种主流资产同时被提取，暴露出一个关键风险：若协议未能严格隔离记账边界，一次看似无关的代币交互即可演变为全局性资产窃取。

Starknet生态面临记账安全实测挑战

尽管此次损失规模小于本年度最重大的几起DeFi攻击，但其技术路径对Starknet生态具有警示意义。集中流动性体系的成功运行高度依赖状态更新的绝对准确性，任何可被操纵的记账节点都可能成为攻击跳板。

类似问题曾在其他项目中浮现：如Thetanuts遗留金库因数学运算边界失效崩溃，Base Safe集成漏洞则暴露了执行路径与权限控制错位的风险。mySwap事件的独特之处在于，攻击依托于专为破坏而创建的恶意代币，而非旧有系统残余或配置失误。

三类风险的共性清晰呈现：当资产流转、记账逻辑与权限管理在复杂协议中交汇时，极小的逻辑缝隙便可能引发灾难性后果。

损失估算暂基于初步分析，后续进展待定

当前最可信的损失评估仍维持在30.5万美元水平，涵盖ETH、USDC、USDT与STRK等多类资产。在官方发布完整事后报告前，尚无明确的资产追回机制、赔偿安排或事件全貌披露。

首份公开技术分析确认，EVIL代币通过干扰集中流动性池的记账流程，致使共享金库状态失真并被清空。在mySwap正式回应之前，该事件仍处于高风险警戒阶段，亟需社区与开发团队协同应对。