2025年11月23日 | 10:03

加密货币行业再次意识到，即使是最去中心化的应用程序仍然依赖于中心化组件——而这些弱点可能会被利用。

要点总结： 对 Aerodrome 和 Velodrome 的攻击目标是它们的网站域名，而不是智能合约或用户资金。 两家交易所的中心化域名遭到入侵后，都将用户重定向到去中心化的前端。 该事件凸显了 Web3 平台在 Web2 基础设施（如 DNS）遭到攻击时仍然容易受到威胁。

周六清晨，Optimism Superchain 生态系统中最大的两个去中心化交易所 Aerodrome on Base 和 Velodrome 在 Optimism 平台上，发现自己面临的威胁并非针对智能合约或流动性，而是他们的网站。

Web2 在 Web3 世界中的薄弱环节

这场混乱并非源于链上漏洞。流动性池、质押合同和用户资金始终安全无虞。攻击者控制了域名系统层，将访问者从真实网页重定向到一个旨在欺骗用户的仿冒界面。

任何人输入正确的网址仍然可能访问恶意登录页面——这是一个典型的 Web2 漏洞利用程序，它伪装成 Web3 服务。

为了避免用户接触到恶意界面，两个团队都指示交易者通过去中心化镜像和浏览器安全的替代方案访问 DEX，而不是通过官方域名访问。

劫机事件虽然短暂，但并非没有影响

到周六下午，那个虚假的前端页面已经无法加载。Velodrome 团队曾短暂地公开联系了其域名提供商 My.box，随后删除了该请求。截至发稿时，双方团队均未发表进一步评论。

调查仍在进行中，目前尚无法确认周末事件的攻击者是否与 2023 年 11 月造成类似损失（当时 DNS 入侵导致超过 10 万美元损失）的攻击者是同一类型。

新时代，旧攻击面

尽管这两个平台在乐观超级链的借贷市场占据主导地位，但它们仍然依赖于 Web2 基础设施——这与当前去中心化经济的核心理念相悖。智能合约或许坚不可摧，但如果攻击者能够绕过其入口，他们甚至无需触及区块链本身。

统一的背景

这次攻击来得正是时候。Velodrome 背后的团队 Dromos Labs 一直在准备将两大 DEX 合并成一个名为 Aero 的单一实体。

Aero 预计将于 2026 年第二季度正式上线，届时它将把两个平台及其代币整合为单一的 AERO 代币，旨在代表统一交易所的全部产出。此次整合有望减少碎片化并提高流动性——而且，现在看来，也可能需要加强域名和访问安全。

比周末小妙招更厉害

Aerodrome 和 Velodrome 都没有蒙受资金损失，合约担保也得到了保障。但此次事件表明，中心化的网站基础设施仍然是针对去中心化协议最有效的攻击途径之一。

对用户而言，这个结论或许令人不适，但却至关重要：即使在 Web3 时代，最安全的途径仍然是去中心化金融（DeFi），但这并不总是最方便的。

---