零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2026 年 1 月加密货币领域安全态势分化显著：当月因安全事件造成的总损失超过 4 亿美元，其中黑客攻击与合约漏洞相关的损失约 8600 万美元，另一起针对个人的巨额钓鱼诈骗案单独造成约 2.84 亿美元损失。协议黑客攻击共发生 16 起，损失较上月上升 13.25 %；Trezor 硬件钱包用户遭遇的特大钓鱼事件，即为上述巨额钓鱼诈骗案，其损失占当月钓鱼类事件总损失的绝对主导。黑客组织攻击重心持续转移，低成本、高收益的社会工程学攻击占比大幅提升，精准化钓鱼手法愈发普遍。

黑客攻击方面

典型安全事件6起

• Truebit 协议溢出漏洞攻击

损失金额：约 2644 万美元（8535 ETH）

事件详情：1 月 8 日，以太坊去中心化离线计算协议遭攻击，因合约用过时 Solidity 版本、未做溢出检查，黑客篡改价值计算逻辑盗走资金，项目方紧急暂停合约并溯源。

• Step Finance Solana 漏洞攻击

损失金额：约2890万美元

事件详情：1 月 31 日，Solana生态平台遭攻击，攻击者利用合约逻辑缺陷操控价差与流动性池窃资，获利后跨链变现，平台紧急暂停服务并排查漏洞。

• SagaEVM 链智能合约漏洞攻击

损失金额：约 700 万美元

事件详情：1 月 21 日，Layer1 链 SagaEVM 遭攻击，黑客利用跨链协议与合约对接漏洞生成稳定币兑资，黑客共转出约700万美元的USDC、yUSD、ETH和tBTC，现已转换为ETH并转入地址0x2044…6ecb。事件发生后，SagaEVM已在区块高度6593800处暂停运行。项目方暂停链运行并联合追回资产。

• MatchaMeta 平台攻击

损失金额：超 1680 万美元

事件详情：1 月 26 日，MatchaMeta 平台遭智能合约价格预言机漏洞攻击，因预言机未设置实时数据校验及异常监控机制，黑客借机篡改资产定价数据，批量窃取用户存入的加密资产，涉及资金超1300 万美元。该攻击手法与近期多起 DeFi 协议预言机操纵攻击高度契合，事件曝光后，平台紧急暂停相关交易合约，修复预言机校验漏洞，同步联合安全机构开展资金溯源工作。

• 稳定币公司 Kontigo 黑客攻击

损失金额：约 420 万美元

事件详情：11 月 12 日，专注拉美市场的稳定币初创公司 Kontigo 遭攻击，黑客利用合约权限管理漏洞窃取稳定币，公司 CEO 个人账户亦遭入侵。官方紧急冻结相关地址、开展溯源，已完成部分受影响用户赔付，并称已掌握攻击者身份。

• FutureSwap 协议重入漏洞攻击

损失金额：7.4万美元

事件详情：1 月 14 日，FutureSwap 协议再遭攻击，因未启用重入防护机制，黑客利用合约交易流程漏洞重复调用提款函数窃资。安全机构披露后，项目方快速添加重入防护插件、修复漏洞，同时对全量合约开展安全审计排查潜在风险。

Rug Pull / 钓鱼诈骗

典型安全事件7起

(1) 1 月 3 日，0xA937 开头地址的受害者因签署恶意“许可”签名而损失了价值 108 万美元的 $aEthLBTC。

(2) HNUT Meme 币 Rug Pull

时间：1 月 5 日

事件性质：黑客组织通过X用户ShittymikeSol推广HNUT，宣称投入500美元一天获利70万美元，吸引投资者后项目崩盘，资金归集至同一地址，累计约370万美元。

(3) 1 月 6 日，0x308a 开头地址的受害者在签署多个钓鱼签名后，在 aEthLBTC 和 aArbWETH 中损失了 229,951 美元。

(4) 拉夫拉菲协议重启盘 Rug Pull

时间：1 月 9 日

事件性质：拉夫拉菲协议崩盘 1 个月后，操盘手换皮推出重启盘“LAX”，8 天吸金千万 USDT ，继续收割被套投资者，利用用户“翻本”心理实施二次诈骗。

(5) NYC 代币 Rug Pull

时间：1 月 13 日 - 14 日

事件性质：纽约前市长 Eric Adams 推出的 NYC 代币被指 Rug Pull，团队在价格高峰撤出约 250 万美元流动性，仅返还 150 万美元，造成 93.2 万美元资金缺口，代币半小时内暴跌 81% 。

(6) Trezor 硬件钱包特大钓鱼事件

时间：1 月 16 日

事件性质：攻击者冒充 Trezor 客服，诱导用户在仿冒网站输入助记词，窃取 1459 枚比特币和 2.05 万枚莱特币，价值约 2.84 亿美元，被盗资产随后被兑换为门罗币洗钱。

(7) 1 月 20 日，0x915d 开头地址的受害者在签署多次钓鱼签名后损失了价值 302 万美元的 SLVon 和 XAUt 。

总结

2026 年 1 月区块链安全态势呈现“协议攻击小幅升温，钓鱼诈骗主导损失”的鲜明特点。协议黑客攻击共发生 9 起，集中于 DeFi 协议、公链生态及链上项目，Step Finance（ 2890 万美元）、Truebit（ 2644 万美元）、MatchaMeta（超 1300 万美元）为当月损失最大的三起协议攻击事件，核心漏洞集中在智能合约代码缺陷、版本过时、预言机异常及权限管理疏漏等问题。此类攻击在月度所有安全事件总损失中占比不足 3 %，钓鱼诈骗与社会工程攻击成为当月最主要安全威胁，占总损失的 84 %以上，单笔 2.84 亿美元的 Trezor 钓鱼事件刷新近期社会工程攻击单笔损失纪录。

攻击手法持续迭代：协议攻击聚焦高流动性目标，利用已知漏洞精准打击，供应链攻击、重入漏洞攻击等手法趋于常态化；诈骗侧，钓鱼攻击呈现“仿冒官方、精准定向”特征，硬件钱包用户成重点目标， Rug Pull 衍生“换皮重启”等新型变种。

零时科技安全团队建议：个人用户强化助记词与私钥保护，警惕仿冒信息，选用经安全审计的工具；项目方完善智能合约审计与漏洞排查，筑牢安全机制；行业加强威胁情报共享，普及安全意识，合力遏制攻击扩散。