INK Finance 因白名单绕过漏洞损失 14 万美元

撰文：Muriuki Lazaro，AMB Crypto

INK Finance 是一个部署在 Polygon 上、面向 DeFi 的国库管理与工作区基础设施协议，最近遭遇了一次严重的授权漏洞攻击。

攻击者利用平台国库验证逻辑中的薄弱环节，最终转走了约 14 万美元资金。

此次攻击的关键在于，一个伪造的 claimer 合约成功冒充了国库系统中已获批准的白名单实体。

由于这一绕过，攻击者得以通过资格检查，并在没有立即受到限制的情况下触发了一笔“已授权”的国库转账。

与此同时，攻击者还通过从 Railgun 路由至 Polygon 的一笔约 2.5 万美元 Balancer V2 闪电贷，加快了漏洞利用的执行速度。

这一资金流也凸显出，随着 DeFi 基础设施的互联程度不断加深，流动性系统之间的联动正在提高攻击执行效率。

报道指出，攻击者并未瞄准高级加密层，而是利用了围绕白名单权限的运营信任假设问题，这再次强化了外界对国库架构中授权设计薄弱的担忧。

国库授权系统正成为 DeFi 的薄弱环节

这次国库漏洞事件反映了 DeFi 攻击面正在发生更广泛的变化：随着基础设施复杂度上升，攻击者不再只聚焦流动性池或定价系统，而是越来越多地瞄准掌握协议储备资金的高权限国库授权层。

INK Finance 的事件也说明，攻击者正通过低成本、高精度的方式针对国库授权系统发起攻击。

这种趋势表明，现代攻击方法越来越重视权限提升，而不只是更大范围的流动性操纵。

与此同时，类似的白名单与访问控制事件在 2026 年的 DAO 国库系统中持续增加，反复暴露出 DeFi 基础设施扩张过程中运营验证层面的弱点。

不过，这类持续存在的授权缺陷也说明，去中心化金融在运营安全成熟度上，仍落后于其基础设施和资本规模的增长速度。

小额攻击也在削弱 DeFi 信心

越来越多针对国库授权的攻击事件，正在逐步削弱市场对 DeFi 基础设施的整体信心。

虽然 INK Finance 此次损失金额相对不算特别巨大，但这一事件仍迅速出现在安全仪表盘和链上监控系统中。

这种可见性之所以重要，是因为用户往往会把反复出现的小额安全事件，视为生态系统底层基础设施仍然脆弱的信号。

报道还提到，SmartCredit、Sharwa 和 Quant 等类似事件也在不断重复强化外界对运营安全纪律薄弱的担忧。

这起事件说明，即便直接经济损失有限，小规模攻击仍可能带来不成比例的市场影响，因为持续性的授权失败会逐渐削弱用户信心、放慢资本部署速度，并提升整个互联系统中的风险警惕。

不过，许多此类漏洞仍然源于本可避免的权限配置问题，而不是极其复杂的技术性失败。

简单来说，运营安全成熟度依然落后于基础设施复杂度的发展。

简要总结

INK Finance 因攻击者通过伪造 claimer 合约绕过白名单验证，损失约 14 万美元。

反复出现的 DeFi 小额授权类攻击，正在持续削弱用户对行业基础设施的信任。