本文旨在为 Pharos 生态的开发者提供一份更具实操性和深度的 RWA 集成参考。我们尝试从业务逻辑和风控架构的角度，还原真实世界资产（RWA）上链时面临的复杂挑战与应对之道。

2026 年 1 月 13 日，Polycule 官方确认其 Telegram 交易机器人遭遇黑客攻击，约 23 万美元用户资产受损。随着机器人下线与赔付承诺公布，事件迅速引发行业对 Telegram Trading Bot 安全性的讨论。透过 Polycule 的功能结构与设计逻辑，可以看到这并非单点失误，而是交易机器人模式下长期存在却被低估的安全风险集中爆发。

2026年1月8日，Truebit Protocol协议被黑客攻击，损失8,535.36 ETH（约2644万美元），Truebit Protocol官方于次日凌晨发文证实。ExVul安全团队对本次攻击事件进行了详细的漏洞分析。

2025 年 12 月 1 日，Yearn 遭遇多阶段组合攻击，造成约 900 万美元损失。攻击者以闪电贷为杠杆，利用协议在极端场景校验、逻辑分支与精度控制上的缺陷，逐步操控资金池状态，最终实现 yETH LP 的近乎无限铸造并抽空资金池。事件凸显 DeFi 攻击的专业化趋势，也暴露出协议在边缘参数、关键计算与监控体系方面的系统性不足。

预测市场正从小众实验迈向金融基础设施，Polymarket 成交额破 50 亿美元，Kalshi 获红杉超 1 亿美元投资。随着产品复杂度提升，安全风险同步放大。本文将从 Web3 安全视角解析风险并介绍 ExVul 的防护方案。

2025年11月3日，Balancer协议在Arbitrum、Ethereum等多条公链遭受黑客攻击，造成1.2亿美元资产损失，攻击核心源于精度损失与不变值（Invariant）操控的双重漏洞。本次攻击的关键问题出在协议处理小额交易的逻辑上。

9月23日，UXLINK项目多签钱包因私钥泄露遭遇攻击，约1130万美元加密资产被盗，并被转移至多家CEX/DEX。事件发生后，ExVul第一时间介入，协同项目方展开调查分析并实时监控资金流向。

北京时间2025年9月7日，Sui链上的 Nemo 被攻击，黑客通过操作py_index以窃取约259万美元。此次Nemo被盗根本原因是PyState错误地设置为可变引用。