币圈搬运工 
Step Finance 国库遭黑客攻击,2700 万美元 SOL 被盗,STEP 代币价格暴跌
近日,Solana 生态知名 DeFi 项目 Step Finance 遭遇严重安全事件,其国库钱包被黑客攻破,导致价值约 2700 万美元的 SOL 被盗。此次事件不仅造成巨额资产损失,也引发市场对其协议安全性的广泛质疑,STEP 代币价格在消息公布后迅速下跌超过 40%。
事件经过与技术细节
据区块链安全公司初步调查,攻击者利用了 Step Finance 国库多重签名钱包中的一个权限漏洞,成功绕过多签机制,直接转移了约 130 万枚 SOL(按当时市价约合 2700 万美元)。整个过程在数分钟内完成,且未触发任何异常警报。
漏洞根源分析
安全团队指出,问题出在国库钱包所依赖的一个第三方智能合约接口上。该接口在权限校验逻辑中存在缺陷,允许特定地址在未获得全部签名的情况下执行高权限操作。尽管 Step Finance 使用了多重签名机制,但该漏洞使得多签形同虚设。
- 攻击时间:2024 年 6 月 18 日 UTC 时间凌晨 3 点左右
- 被盗资产:1,300,000 SOL(约 2700 万美元)
- 攻击手法:权限绕过 + 智能合约逻辑漏洞
- 资金流向:已通过跨链桥分散至多个匿名钱包
市场反应与项目方应对
事件曝光后,STEP 代币价格从约 $0.35 急速下挫至 $0.20 以下,跌幅超 40%。社区情绪一度恐慌,部分用户开始质疑项目长期安全性。面对危机,Step Finance 团队迅速做出回应。
官方应急措施
项目方在事发 6 小时内发布紧急公告,宣布暂停所有协议交互功能,并冻结受影响的合约。同时,团队已联合 Chainalysis、CertiK 等多家安全机构追踪资金流向,并承诺将承担用户损失(具体补偿方案待定)。
“我们对此次安全事件深感痛心,并向所有用户致以最诚挚的歉意。安全始终是我们的首要任务,我们将彻底审查所有代码并引入更严格的审计流程。”——Step Finance 官方声明行业影响与安全反思
此次事件再次凸显了 DeFi 项目在资产管理上的脆弱性。即使采用多重签名等“标准”安全措施,若底层逻辑存在疏漏,仍可能被攻击者精准打击。业内专家呼吁,项目方应从“信任最小化”原则出发,重新评估国库管理架构。
对 Solana 生态的警示
Solana 近年来因高性能和低费用吸引了大量 DeFi 项目,但其生态安全基础设施尚未完全成熟。据统计,2024 年上半年 Solana 链上已发生 7 起重大安全事件,总损失超 1.2 亿美元。这促使更多项目考虑引入去中心化保险或 DAO 控制的国库治理机制。
| 指标 | 事件前 | 事件后(24 小时内) |
|---|---|---|
| STEP 价格 | $0.35 | $0.20 |
| 24h 交易量 | $8.2M | $22.5M |
| TVL(总锁仓价值) | $45M | $38M |
常见问题解答
普通用户是否面临资产风险?
目前被盗的是项目国库资金,非用户质押或交易资金。Step Finance 的前端和核心协议已暂停,用户资金暂未受损,但建议暂时不要进行任何操作直至官方恢复服务。
STEP 代币会归零吗?
可能性较低。项目方已承诺承担损失并推进补偿计划,且其产品在 Solana 生态中仍具一定用户基础。但短期价格波动剧烈,投资者需谨慎评估风险。
如何追踪被盗资金的去向?
可通过 Solana 区块浏览器(如 Solscan 或 Explorer.solana.com)输入被盗交易哈希(例如:5xK...Z9q)查看资金流动。不过,黑客已使用跨链桥将部分 SOL 转至 Ethereum 和 Base 网络,追踪难度加大。
未来如何避免类似事件?
项目方可采用“时间锁+多签+DAO 投票”三重机制管理国库,并定期进行第三方渗透测试。用户则应关注项目是否公开安全审计报告及应急响应预案。
是否有保险可覆盖此类损失?
Step Finance 未公开披露购买链上保险(如 Nexus Mutual 或 Unslashed)。目前主流 DeFi 保险覆盖率仍有限,建议高净值用户自行配置相关保障产品。