基于Solana的DeFi平台Step Finance遭遇严重安全漏洞

专注于投资组合管理、数据分析与生态仪表板的Solana链上DeFi平台Step Finance近日遭受严重安全攻击,攻击者窃取资产价值达数百万美元。尽管DeFi领域资金库在Solana或其他链上遭受攻击并不罕见,但本次事件涉及的规模再次引发关于项目持有资金安全实践的讨论。

攻击事件细节

根据Step Finance团队在社交平台发布的消息,其多个资金库与费用钱包在攻击中遭到入侵。攻击者通过解除质押并转移约261,854枚SOL至未知地址,按事发时价格计算,损失价值约三千万美元。团队表示正在展开调查,数小时后已联系网络安全公司寻求协助,同时呼吁受影响用户或能提供帮助者与其联系。

从事件描述分析,本次攻击主要针对协议资金库钱包,而非直接波及用户资金的智能合约漏洞。链上数据显示,自攻击发生以来,Step Finance的总锁仓价值已归零。

市场反应与同类攻击模式

随着事件持续发酵,市场已作出明显反应。截至发稿时,平台原生代币STEP价格暴跌约84%,交易价格维持在0.4241美元区间。值得注意的是,近期Solana生态DeFi协议攻击事件呈现共性特征,包括资金库钱包漏洞、私钥泄露、权限控制缺陷及智能合约利用等。

Step Finance事件延续了近期操作型攻击的模式——攻击目标集中于项目资金库而非用户资产。类似案例还包括CrediX协议漏洞、Loopscale攻击及Upbit交易所Solana相关黑客事件。其中CrediX事件因攻击者控制管理员钱包损失450万美元,与当前Step Finance处境高度相似;而Loopscale在启动不久后因漏洞损失超500万美元,最终与攻击者达成10%赏金的协议。

最具影响力的是2025年11月发生的Upbit交易所Solana相关攻击,因提现权限控制不足导致热钱包损失超3500万美元,暴露出资金库与热钱包相关的系统性风险。