Ai总结： 2026年5月11日，INK Finance在Polygon网络上的Workspace Treasury Proxy合约遭遇针对性攻击，攻击者利用白名单机制与闪电贷结合，在单笔交易中提取约14万美元USDT。事件暴露去中心化资金管理中的授权逻辑缺陷。

INK Finance平台遭精准攻击，14万美元资金被闪电贷套现

去中心化金融生态虽持续演进，但安全风险仍如影随形。2026年5月11日，INK Finance成为又一例因授权机制缺陷而遭受攻击的项目，其Polygon链上Workspace Treasury Proxy合约被入侵，导致约14万美元USDT被非法提取。该事件由安全机构Blockaid率先披露，引发社区广泛关注。

攻击过程呈现高度策略性与技术协同性

此次攻击并非依赖传统手段如私钥窃取或预言机操控，而是通过精准利用白名单验证流程中的逻辑疏漏，并与闪电贷机制深度融合，在单一原子交易中完成资金转移。整个过程高效且隐蔽，未触发任何异常警报。

平台定位与核心架构解析

INK Finance是一个多链金融操作系统，服务于DAO、协议及现实世界资产项目，提供链上资金托管、治理、支付与募资等一体化工具。其核心功能包括Universal Custodian Vault与Workspace Treasury Proxy，支持团队创建可定制工作区并分配权限。本次受袭的合约（0xa184…96E4）为2023年底部署的EIP-1967信标代理，广泛用于授权转账场景，主要运行于Polygon与Avalanche网络。

攻击路径拆解：从白名单绕过到闪电贷增额

根据Blockaid及多方研究分析，攻击者采取分步式操作：首先部署一个伪装成合法申请者的恶意合约，成功通过白名单审核；随后调用claim(claimId)函数，触发授权提款流程；为满足申领条件，攻击者在同一交易中借入约2.5万美元闪电贷资金，从而实现对全部14万美元USDT的提取；交易结束前，闪电贷自动偿还，无残留债务。

资金流转路径揭示预谋性质

链上追踪显示，攻击者在实施攻击前仅32分钟，已通过以太坊上的Railgun网络接收资金以增强匿名性，再跨链至Polygon。这一时间差表明攻击行为具有高度计划性，非临时起意。

当前应对措施与用户防范建议

INK Finance已确认事件发生，但尚未发布完整技术报告与修复方案。建议所有在Polygon或Avalanche上使用工作区的用户立即撤销与受影响控制器及代理合约的授权；审查白名单成员地址与权限配置；密切关注官方动态后再进行资金操作；同时强化对异常代理调用与突发资金流出的监控机制。

深层问题浮现：授权逻辑的系统性脆弱

尽管损失金额相较于部分历史事件较小，但此案例再次揭示了基于白名单的资金管理系统在执行层面存在的根本性风险。当协议未能对交易金额、所有权归属或目标地址进行二次校验时，即便流程看似合规，也可能被恶意利用。类似漏洞曾在Aftermath Finance事件中重现，攻击者借此盗取超114万美元。这表明，去中心化金融的安全防线必须建立在持续审计、分层权限控制与实时行为监测之上。