黑客攻击 Step Finance，劫走 3000 万美元 SOL 资产

Step Finance 是一个基于 SolanaDeFi 平台，负责生态系统的投资组合管理、分析和仪表盘，该平台遭遇了严重的安全漏洞，攻击者窃取了数百万美元。. 

DeFi 领域的资金库在 Solana 或其他链上遭受攻击并不罕见；然而，这次攻击的规模之大，再次引发了关于项目资金安全措施的讨论。. 

Step Finance遭到黑客攻击。 

据 Step Finance 团队 在 X 上表示，其多个金库和费用钱包在此次攻击中遭到入侵，攻击者将约 261,854 个 SOL 取消质押并转移到未知地址。 

dent发生时， Solana 所有资产的总价值约为 3000 万美元。该团队在其 X 公告中声称正在进行调查，并在数小时后联系了多家网络安全公司寻求帮助，鼓励受影响的用户或任何有能力提供帮助的人与他们联系。. 

从帖子措辞来看，这似乎是dent 针对协议资金钱包的定向攻击，而非直接影响用户资金的智能trac漏洞利用。攻击发生后， Defi显示 Step Finance 的总锁定价值 (TVL) 为零。. 

尽管情况仍在发展，但市场已经对此消息做出了反应。根据 Coingecko 的数据，截至发稿时，STEP 原生代币已下跌约 84%，价格徘徊在 0.4241 美元左右。. 

近期攻击主要针对管理员漏洞。  

对 Solana 上的 DeFi 协议的攻击并非新鲜事，但最近的攻击似乎都有一些共同的攻击手段，例如国库钱包被入侵、私钥泄露、访问控制缺陷和智能trac漏洞利用。. 

Step Finance 的漏洞利用模式与运营层面的入侵类似，攻击目标是其金库而非用户资金。其他一些近期发生的、 DeFi相关的、攻击方式类似的案例包括 CrediX 协议漏洞利用、Loopscale 漏洞利用以及 Upbit Solana相关攻击。

CrediX ， 事件dent 攻击者控制了管理员的钱包。该案例与Step Finance目前的困境非常相似，因为两者都不涉及用户直接资金。然而，许多人希望Step Finance的结局能与CrediX有所不同，因为CrediX的事件是一场灾难。 

该团队曾承诺在漏洞利用发生后的一两天内退款，并声称已与黑客达成协议。然而，他们并未履行承诺，而是销声匿迹，删除了他们的X程序并关闭了网站，这引发了人们对他们玩忽职守的质疑。. 

Loopscaledent 也遭遇了类似的攻击，由于漏洞利用，该公司在上线后不久就损失了超过 500 万美元，尽管最终与黑客达成了谈判，同意支付 10% 的赏金。.

最引人注目的攻击事件是 Upbit Solana相关的，该事件 发生 在2025年11月，导致这家韩国交易所的热钱包损失超过3500万美元。此次dent 现访问控制不足有关，并影响了 Solana 生态系统中的资产，凸显了与金库和热钱包相关的风险。