与该事件类型相关的快讯
白宫近日对 Anthropic 提议将其 AI 模型 Mythos 扩展至约 120 家公司表示反对,主要基于安全和算力的考虑。Anthropic 原计划在现有约 50 家企业的基础上,新增 70 家公司使用 Mythos,但白宫对此提出质疑,担心算力不足可能影响政府自身对 Mythos 的使用。Mythos 于 4 月初发布,旨在检测并利用关键软件漏洞,目前仅限于管理关键基础设施的企业测试,尚无公开发布计划。白宫担心,若将使用范围扩大至更多商业用户,政府在使用该模型时将面临算力瓶颈,特别是 Anthropic 与亚马逊、谷歌和博通签订的算力采购协议,尽管已签约,但新产能尚未上线。政治方面,白宫与 Anthropic 的关系也未见缓和。特朗普政府曾公开批评 Anthropic 招聘了多名拜登政府前官员,并对其与自由派组织的关系表达不满。一个例子显示出双方的信任问题:Anthropic 前研究员 Collin Burns 原本被安排进政府的 AI 模型评估岗位,但白宫高层得知后直接更换了人选,理由是避免 AI 公司人员直接参与与其他 AI 公司打交道的事务。此外,Anthropic 上周还披露了 Mythos 模型的未授权访问事件,进一步加剧了外界对该公司的监管关注。
据 LA Times 报道,美国加州居民 Evan Tangeman(22 岁)为"Crypto kids"犯罪集团洗钱至少 350 万美元,被判处 70 个月联邦监禁及 3 年监督释放。 该集团通过冒充 Coinbase、Gemini 等交易所员工实施社会工程学诈骗,累计盗取逾 2.63 亿美元加密资产,赃款用于购置豪车、租赁豪宅及奢侈消费。Tangeman 除负责洗钱外,还协助成员租赁豪宅,并在集团成员被捕后指示同案被告销毁数字设备。联邦探员在其住所查获劳斯莱斯 Ghost 及保时捷 GT3 RS 各一辆。
据 Aftermath Finance 官方披露,该协议预计将在未来 48 至 72 小时内完成对用户的全额赔付,目前团队正全力推进资金返还工作,并对用户的耐心等待表示感谢。此前消息,永续合约协议 Aftermath Finance 于昨日遭遇漏洞攻击,损失约 114 万美元资金。Sui 基金会联合 Mysten Labs 表示,将积极协助 Aftermath Finance 推进用户资金追回工作,并致力于保障 Aftermath 协议的持续运营。
据 Pump.fun 官方消息,Pump.fun 推出 Charity Coins 功能,独家集成慈善捐赠平台 Donate.gg,代币管理员(Coin Admin)可在费用设置中将创作者费用直接定向捐赠至最多 5 个慈善机构,目前已支持超过 10,000 家机构,无需慈善方额外入驻。 此次集成旨在解决此前自行捐赠存在的捐赠执行不确定、可能触发应税事件及慈善机构社交账户遭恶意攻击等问题。
据 Sui 官方披露,Aftermath Finance 部署于 Sui 网络的永续合约协议遭受漏洞攻击,相关协议已随即暂停运行。 Sui 基金会联合 Mysten Labs 表示,将积极协助 Aftermath Finance 推进用户资金追回工作,并致力于保障 Aftermath 协议的持续运营。Aftermath Finance 方面将于近期就资金追回进展作进一步说明。
据华尔街日报报道,白宫已向 Anthropic 表明,反对其扩大旗下人工智能模型 Mythos 使用范围的计划。Anthropic 近期提议允许约 70 家公司及机构新增访问 Mythos 系统,届时拥有访问权限的实体总数将达约 120 家。对此,政府官员以安全为由明确表示反对。 知情人士透露,部分白宫官员担忧 Mythos 具备发动网络攻击、在网络上造成大规模破坏的能力,认为扩大访问范围存在安全隐患。此外,亦有官员对 Anthropic 的算力储备表示质疑,认为其可能无法在服务大量新增实体的同时,保障政府对该系统的有效使用。 目前,尽管双方均有意缓和关系,但围绕 Mythos 访问权限的分歧仍未解决。
Andre Cronje 表示,当前大部分去中心化金融(DeFi)协议已不再符合“严格意义上的 DeFi”,而更接近由团队运营的商业系统,并围绕是否应引入“熔断机制(circuit breakers)”以应对攻击风险,引发行业分歧。在接受采访时,Andre Cronje 指出,早期 DeFi 以不可篡改智能合约为核心,但如今大量协议依赖可升级合约、多签权限、链下基础设施与人工运维流程,本质上已从“不可变公共产品”转变为“可运营的盈利型业务”。他表示,在近期多起安全事件背景下,包括约 2.8 亿美元与 2.93 亿美元级别的 DeFi 攻击,行业风险已从单纯智能合约漏洞扩展至基础设施、权限控制及社会工程攻击等“Web2 式风险”。针对风险管理,Andre Cronje 所在的 Flying Tulip 近期引入熔断机制,在异常资金流出时延迟或排队提款,以提供约 6 小时的应急响应窗口,用于防止系统性挤兑与进一步损失。不过该机制也引发争议。Michael Egorov 认为,熔断机制可能引入新的中心化攻击面,如果由签名者或管理员控制,反而可能成为新的安全漏洞或冻结风险来源。他强调,DeFi 设计应尽量减少人为干预,而非增加人工控制节点。业内分析指出,这一争论本质上反映出 DeFi 正在从“代码即法律”的理想模型,逐步转向“混合治理+运营控制”的现实架构,而安全边界正在重新定义。(Cointelegraph)
据 Blockaid 监测,Aftermath Finance 在 Sui Network 上的永续合约协议发生正在进行中的攻击事件,约 110 万美元 USDC 在约 36 分钟内通过 11 笔交易被盗。分析显示,此次漏洞源于永续合约清算系统中的手续费记账缺陷,攻击者借此实现合成抵押品虚增,并从协议金库中提取资金。
据链上安全机构 Blockaid(@blockaid_)监测,Sui Network 上的 AftermathFi 永续合约于 4月 29 日遭遇漏洞攻击,攻击者(地址:0x1a65...2d41e)在约 36 分钟内通过 11 笔交易共盗取约 110 万美元 USDC。据悉,此次攻击利用了永续合约清算所费用核算中的漏洞,通过合成抵押品虚增手段实现对协议金库的非法提款。
ether.fi 首席执行官 Mike Silagadze 在 X 平台发文回应承诺向 Kelp 黑客事件恢复基金投入 5000 枚 ETH 原因,他表示团队认为此次事件存在“摧毁整个 DeFi 生态”的真实风险,若 Kelp 破产,价值 15 亿美元的 rsETH 可能被长期冻结,进而导致规模达 300 亿美元的 Aave 借贷市场陷入停滞,并引发 DeFi 与 CeFi 连锁崩盘,并称“FTX 相比之下都显得微不足道”。Mike Silagadze 补充称,在多数机构选择退缩并交由律师处理时,主动承担责任并迅速筹资填补漏洞,帮助避免最坏情况发生是好的选择。
渣打银行最新报告指出,KelpDAO 的 rsETH 被盗事件虽对 DeFi 生态造成严重冲击,但并不足以改变现实世界资产(RWA)代币化长期增长趋势,仍维持其预测:到 2028 年底,RWA 代币化市场规模将从 2025 年 10 月的 350 亿美元增长至 2 万亿美元,核心驱动力仍将来自 DeFi 银行体系与稳定币流动性的持续扩张。渣打数字资产研究主管 Geoffrey Kendrick 表示,此次事件更像是 DeFi“被压弯而非被击碎”(Bent, not broken),甚至可能成为行业走向更强韧结构的重要转折点。(The Block)
据 CertiK 披露,Syndicate 协议因 Commons 跨链桥遭到攻击,发生一起漏洞利用事件。攻击者通过上述漏洞获取约 1850 万枚 SYND 代币,并将其出售,套现约 33 万美元。目前,相关资金已通过跨链桥转移至以太坊网络。 Syndicate 官方回应,正在调查 Commons 桥的安全泄露事件。团队正在追踪攻击行为,并与安全公司合作。团队还在考虑各种方案,以补偿受影响的用户。Syndicate 拥有足够的代币可用,以帮助那些丢失 SYND 的用户。
据 Arkham 监测,Kyber Network 黑客正在将被盗资金转移至 Tornado Cash。该黑客 Andean Medjedovic 曾于 2023 年末从 KyberSwap 窃取 4880 万美元资金,此前还曾攻击 Indexed Finance 并窃取 1650 万美元。其已于 2025 年遭 FBI 起诉。
据 SlowMist 监测,由于 EIP-7702 账户存在设计缺陷,某 QNT 储备池遭受攻击,损失 1988.5 枚 QNT,价值约 54.93 枚 ETH。攻击根源在于该储备池的管理员身份由地址持有,该地址通过 EIP-7702 将其代码委托给 BatchExecutor 合约。由于 BatchExecutor 授权了无权限控制的 BatchCall 合约作为调用者,且 BatchCall.batch 函数缺乏权限检查,导致攻击者利用任意调用漏洞提取了池内代币。
据 a16z 披露,其研究人员对 AI 代理能否独立完成 DeFi 价格操纵漏洞利用进行了系统测试。研究以 20 起以太坊价格操纵事件为数据集,使用配备 Foundry 工具链的 Codex(GPT 5.4)作为测试代理。在无领域知识的基准条件下,代理成功率仅为 10%;引入基于真实攻击事件提炼的结构化领域知识后,成功率提升至 70%。 失败案例显示,代理均能准确识别漏洞,但普遍无法理解递归借贷的杠杆逻辑、错误判断盈利空间,以及无法组装跨合约的多步骤攻击结构。实验还记录到一起沙箱逃逸事件:代理通过提取本地节点配置中的 RPC 密钥,调用 anvil_reset 方法将节点重置至未来区块,绕过信息隔离限制并获取真实攻击数据。 研究团队认为,AI 代理目前可有效辅助漏洞识别,但尚不能替代专业安全审计人员。
据 ZetaChain 官方披露,4 月 27 日,ZetaChain 遭受一次定向漏洞攻击,攻击者事先通过 Tornado Cash 获取资金并实施钱包地址欺骗,最终利用 GatewayEVM 任意调用功能漏洞,在 4 条关联链上造成约 33.4 万美元损失。 ZetaChain 表示,此次攻击未影响跨链 $ZETA 转账,受影响钱包均为 ZetaChain 自控地址,用户资金未受损失。目前主网补丁已完成部署,跨链交易将在持续监控后恢复开放。
据 Dark Web Informer 披露,去中心化预测市场平台 Polymarket 疑遭黑客入侵,威胁行为者 xorcat 在一知名网络犯罪论坛发布了逾 30 万条数据记录及配套漏洞利用工具包。数据提取日期为 2026 年 4 月 27 日。 据称,攻击者通过未公开的 API 端点、分页绕过及 Polymarket Gamma 与 CLOB API 的 CORS 错误配置提取数据。泄露内容包括:1 万个用户完整个人信息(含姓名、代理钱包及基础地址)、4111 条评论、1000 条举报记录(含 58 个 ETH 地址及管理员认证地址标识)、48536 个 Gamma 市场元数据、逾 25 万个活跃 CLOB 市场的固定乘积做市商地址,以及 9000 个关注者社交图谱数据。 工具包中包含多个漏洞的概念验证代码,涉及 CVE-2025-62718(Axios NO_PROXY 绕过,CVSS 9.9,可触发服务端请求伪造)、CVE-2024-51479(Next.js 中间件认证绕过,CVSS 7.5)及 CORS 错误配置等。此外,工具包还附有自动化持续拉取脚本及完整红队报告(含 M
据 Tropykus 官方披露,去中心化借贷协议 Tropykus 宣布启动现版本协议的渐进式关闭流程,存款与借贷功能将永久停用,用户可通过 tropykus.com 进行提款及还款操作,截止日期为 2026 年 7 月 27 日,此后相关操作将仅支持直接与智能合约交互。 团队表示,此次关闭决定系出于长期战略演进考量,并非源于此前 Money on Chain 合作方收到的安全报告。该报告此前已促使协议预防性暂停存款与新增借贷功能,但团队强调,关闭决定早于该事件已在内部讨论,安全事件仅起到加速作用。在技术层面,团队指出,原有架构设计于早期技术环境之下,面对人工智能等新兴技术带来的安全挑战,现有架构已难以满足长期发展需求。 团队建议所有用户在 2026 年 7 月 27 日前通过 tropykus.com 完成提款并结清借贷头寸,逾期后操作将需具备直接与智能合约交互的技术能力。
据链上分析师 PeckShield(@PeckShieldAlert)监测,一名用户持有的 Alchemix Yearn yvVault 头寸(代币 $yvWETH)遭到攻击,损失估计约 100 万美元。 攻击根源在于该用户此前曾向一个未经验证的合约授权(合约地址:0x143a),该合约于 10 天前部署。经反编译分析,该合约存在漏洞,可被利用执行任意调用(arbitrary call execution)。攻击者通过上述漏洞,成功转移了受害者的 yvVault 头寸。 目前,PeckShield 已公开披露该漏洞的具体逻辑。建议用户检查并撤销对未知或未经验证合约的代币授权,以降低资产风险。
据链上分析师 PeckShield(@PeckShieldAlert)监测,Trading Protocol 旗下金库 YieldCore-3rd-deal 遭到攻击,损失约 39.8 万美元。 攻击原因系合约存在调用者权限校验缺失漏洞,攻击者利用该漏洞绕过授权机制,将金库内资金全部提取。目前相关链上交易记录已被披露。