登录
注册
据 Woofun AI 消息,DeFi 领域再遭重击,Cascade 项目的 CLS 资金库被攻破,导致 134 万美元用户锁定资金瞬间失窃。这一事件不仅让备受瞩目的新型经纪商陷入危机,更将预上线协议在交易启动前即面临巨额资产安全风险的问题推向风口浪尖。被盗资金在极短时间内跨越多条公链转移,使得资产追回的可能性降至冰点,暴露出当前跨链安全机制的致命缺陷。
攻击路径的复杂性令人咋舌,资金流转轨迹呈现出高度专业化的洗钱特征。PeckShield 的调查报告指出,攻击者首先从 Arbitrum 链上的 CLS 资金库盗取 134 万美元 USDC,随即通过跨链桥将资产转移至 Solana 网络。在 Solana 上,攻击者迅速将 USDC 兑换为去中心化稳定币 DAI,随后利用 Relay Protocol 协议将资金回传至以太坊主网。一旦进入以太坊生态,这笔资金立即被拆分为两笔大额存款,分别为 801,212 DAI 和 536,000 DAI,总计约 133 万 DAI。更为隐蔽的是,第二笔资金随后又被进一步细分为三笔,分别存入三个独立钱包,金额精确对应 178,000 DAI、178,000 DAI 和 180,000 DAI。
这种多层级拆分与跨链跳跃的操作,旨在利用不同链之间的数难度。安全专家分析认为,将 USDC 转换为 DAI 是黑客的标准动作,因为 Circle 拥有冻结被盗 USDC 的权限,而 DAI 作为去中心化稳定币,无法被中央发行方列入黑名单,从而切断了官方冻结资金的后路。
Woofun AI 整理数据显示,此类利用跨链桥进行资产清洗的手法,在近期多起 DeFi 安全事故中已成为主流攻击模式。
此次受害群体的特殊性加剧了事件的严重性,受影响者均为 Cascade 平台的受邀早期用户。根据项目文档,CLS 作为原生流动性微策略,其核心职能是在项目向公众开放前维持订单簿深度并应对潜在清算风险,同时为早期参与者提供积分奖励。这些用户存入 USDC 的初衷是期待未来获得相应的空投或积分激励,然而资金在交易正式开启前始终处于锁定状态,意味着在攻击发生的那一刻,受影响用户完全丧失了提取资金的主动权。Cascade 方面透露,平台原计划在 2026 年初逐步提升 CLS 资金库的存款上限,并已于 1 月 21 日正式开启了 500 万美元的新增存款额度,旨在吸纳更多符合条件的用户参与该计划,但这一扩张进程因安全漏洞而被迫中断。
尽管拥有雄厚的资本背书,Cascade 仍未能幸免于难,这引发了市场对"资金充裕即安全"这一认知的深刻反思。早在 2025 年 12 月,该项目便完成了由 Polychain Capital 和 Variant 领投的 1500 万美元种子轮融资。这家初创公司将自己定位为新型经纪商,雄心勃勃地计划为 OpenAI、SpaceX 和 Stripe 等科技巨头的加密货币、大宗商品以及未上市(IPO)公司股票提供全天候的永续合约代币化交易服务。其主网启动时间原定在 2026 年第一季度,然而此次攻击发生在融资后不久,且项目方至今未披露具体的技术漏洞成因。安全公司仍在持续监控多个网络上的钱包活动,试图追踪资金流向,但复杂的跨链操作让调查工作举步维艰。
这一案例表明,即便有顶级机构加持,若底层安全架构存在短板,巨额融资也无法构建起真正的防御壁垒。
Cascade 的遭遇并非孤立事件,而是近期 DeFi 连环安全危机的缩影。就在 Ostium 因基于预言机的漏洞导致约 1800 万美元从其 OLP 资金库被盗不到两天后,Cascade 便遭遇了类似打击。《The Block》此前曾将 Cascade 的许可制市场推广策略与 Ostium 的模型进行过比较,两者均因高价值流动性池成为攻击目标。
此外,Lazy Summer Protocol 也因股价操纵漏洞损失超过 600 万美元,而 Hedera 链上的 Bonzo Finance 则因价格预测机制被破解而损失 900 万美元。这些连续发生的案件共同指向一个令人担忧的趋势:攻击者正将目标精准锁定在存储大量用户资金的复杂流动性系统上。随着 DeFi 生态的快速发展,协议创新的速度往往超过了安全审计的迭代周期。Cascade 事件再次警示行业,快速的创新必须伴随着同等强度的安全保障,否则再宏伟的商业愿景也可能在几分钟内化为泡影。对于开发者而言,持续的审计、实时的监控以及透明的沟通,才是建立去中心化金融领域持久信任的必要条件。