mySwap在Starknet上因虚假EVIL代币滥用CL池会计机制损失30.5万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

mySwap在Starknet上因虚假EVIL代币滥用CL池会计机制损失30.5万美元

2026-06-19 22:42:43

mySwap在Starknet上因假代币EVIL滥用CL池会计机制损失30.5万美元

mySwap在Starknet上的集中流动性池遭到攻击，损失约30.5万美元。攻击者部署了一种假代币，并利用它操纵了池子的记账系统。

此次mySwap攻击涉及一种名为EVIL的假代币，该代币被用来扭曲与协议集中流动性池及共享金库相关的记账路径。被盗资产包括137.96枚ETH、45,000枚USDC、19,900枚USDT和230,000枚STRK。

这次攻击并非源于私钥泄露或管理员级别的失误，而是一次针对活跃DeFi逻辑的无许可攻击。攻击者通过恶意代币交互，从持有多个池子流动性的共享金库中提取了真实资产。

假代币如何演变为金库盗取

mySwap作为Starknet上的去中心化交易所运营，其集中流动性池旨在让流动性提供者将资金置于更窄的价格范围内。这种模式可以提高资本效率，但也使得内部记账层变得更加重要，因为协议必须在每次存款、兑换和提现中保持池子余额、金库余额和流动性提供者权益的一致性。

EVIL代币似乎成为了进入该记账层的入口。攻击者并非简单地交易一种毫无价值的代币，而是利用它影响集中流动性池系统如何识别余额，以及如何从共享金库中释放资产。

最终导致了跨资产盗取。尽管假代币是打开通道的工具，但ETH、USDC、USDT和STRK均被提走。这正是此类攻击的核心风险：如果验证和记账边界不够严格，一次恶意的代币交互就可能影响真实的池子资产。

Starknet DeFi迎来一次实时的记账考验

mySwap事件在规模上小于今年最大的DeFi攻击，但其机制对Starknet的流动性提供者而言意义重大。集中流动性系统依赖于准确的状态更新。一个假代币不应能够混淆池子记账，或开辟一条通往持有真实资产的共享金库的路径。

这种模式与近期其他DeFi事故相似，其中记账逻辑成为了薄弱环节。之前的Thetanuts遗留金库攻击展示了金库数学运算在边缘条件下如何崩溃，而Base Safe集成漏洞则展示了一条暴露的执行路径如何在权限和资产流向对齐时快速转移资金。

mySwap的情况有所不同，因为它围绕一种为攻击而创建的恶意代币，而非遗留金库或Safe集成。共同的主题是：复杂的DeFi系统往往在资产、记账和权限交汇的地方出现漏洞。

损失金额仍依据初步技术分析

目前最好的损失估计仍约为30.5万美元，涉及ETH、USDC、USDT和STRK。在首份公开技术分析发布的同时，尚未确认任何追回方案、赔偿计划或mySwap的完整事后报告。

初步公开分析指出，一个名为EVIL的假代币操纵了集中流动性池的记账，并导致Starknet上的共享金库被掏空。在mySwap发布自己的事后报告或回应之前，该事件仍处于警报阶段。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文