Fireblocks 阻止了 NEAR 上的 SWEAT 和 HOT 攻击,保护了数百万用户
realtime news Jun 16, 2026 18:09
Fireblocks 发现并缓解了 SWEAT 和 HOT 合约中的关键零日漏洞,保护了 2200 万用户免受潜在的数百万美元损失。
Fireblocks 透露了其在识别和缓解两个关键零日漏洞中的作用,这些漏洞可能使 NEAR Protocol 用户损失数百万美元。这些漏洞出现在 SWEAT(一个为 Sweat Economy 生态系统提供动力的代币)和 HOT(一个拥有超过 2200 万持有者的 Web3 治理代币)的合约中。
2026 年 4 月下旬,Fireblocks 的区块链监控系统标记了 NEAR 上涉及 SWEAT 代币的异常交易。攻击者无需私钥、钓鱼链接或用户签名便可以清空钱包。其中一名受害者在一次攻击中就损失了 850 万个 SWEAT 代币,价值约在 17 万到 25 万美元之间。问题出在 ft_resolve_transfer 回调函数中缺少安全保护,该函数在未验证调用者身份的情况下就退还了代币余额。
该漏洞利用了 NEAR 的代币标准(NEP-141),其中 ft_resolve_transfer 用于退还未使用的余额。在 SWEAT 的实现中,该函数缺少 NEAR 的 #[private] 宏,使其暴露于公共调用。攻击者通过创建恶意合约,欺骗系统直接将退款发到他们的钱包。结果:受害者账户中的数百万代币被盗。
发现 HOT 合约漏洞
在修补 SWEAT 漏洞后,Fireblocks 在 NEAR 的生态系统中展开了更广泛的调查。他们的主动搜索发现了 HOT 中存在的相同漏洞,这是一种拥有超过 2200 万持有者的治理代币。潜在后果非常严重——攻击者可能利用相同的“空退款”逻辑来铸造无限量的 HOT 代币或清空用户余额。Fireblocks 将问题报告给了 HOT 的维护团队,后者在同一天部署了补丁。
形势非常严峻。HOT 的生态系统支持超过 3500 万用户以及数亿次代币转账。一旦攻击成功,可能会引发巨大的财务损失,并削弱对 NEAR 基础设施的信任。
对 Web3 安全的更广泛意义
Fireblocks 的迅速行动突显了区块链安全中日益增长的重要性。随着 AI 工具加快代码分析的速度,攻击者能够比以往更快地识别活动合约中的漏洞。然而,这些工具同样可以帮助防守者在漏洞被利用之前发现并修复问题。
对于像 SWEAT 这样的协议来说,此类漏洞的后果不仅仅是财务上的。SWEAT 是 Sweat Economy 的基石,这是一种通过代币奖励激励身体活动的“边动边赚”的生态系统。2026 年 4 月的攻击共盗取了 137.1 亿个 SWEAT 代币(总供应量的 65%),突显了智能合约安全性的重要性。尽管用户余额得到了恢复,但这一事件强调了依赖智能合约完整性的代币生态系统的脆弱性。
截至 2026 年 6 月 16 日,SWEAT 的交易价格为 $0.00071807,过去 24 小时内下跌了 0.04481%。其市值为 893 万美元,反映了该代币在攻击后努力恢复的成果。而 HOT 则因为 Fireblocks 的介入,避免了类似的灾难,维护了其生态系统的稳定性。
对于 Web3 构建者来说,教训是显而易见的:安全性不能被忽视。随着攻击者与防守者之间的军备竞赛加剧,主动措施和严格的审计对于保护用户资产和生态系统信任至关重要。
Image source: Shutterstock.jpg)
