与该事件类型相关的快讯
据 Blockaid 监测,Aftermath Finance 在 Sui Network 上的永续合约协议发生正在进行中的攻击事件,约 110 万美元 USDC 在约 36 分钟内通过 11 笔交易被盗。分析显示,此次漏洞源于永续合约清算系统中的手续费记账缺陷,攻击者借此实现合成抵押品虚增,并从协议金库中提取资金。
据链上安全机构 Blockaid(@blockaid_)监测,Sui Network 上的 AftermathFi 永续合约于 4月 29 日遭遇漏洞攻击,攻击者(地址:0x1a65...2d41e)在约 36 分钟内通过 11 笔交易共盗取约 110 万美元 USDC。据悉,此次攻击利用了永续合约清算所费用核算中的漏洞,通过合成抵押品虚增手段实现对协议金库的非法提款。
ether.fi 首席执行官 Mike Silagadze 在 X 平台发文回应承诺向 Kelp 黑客事件恢复基金投入 5000 枚 ETH 原因,他表示团队认为此次事件存在“摧毁整个 DeFi 生态”的真实风险,若 Kelp 破产,价值 15 亿美元的 rsETH 可能被长期冻结,进而导致规模达 300 亿美元的 Aave 借贷市场陷入停滞,并引发 DeFi 与 CeFi 连锁崩盘,并称“FTX 相比之下都显得微不足道”。Mike Silagadze 补充称,在多数机构选择退缩并交由律师处理时,主动承担责任并迅速筹资填补漏洞,帮助避免最坏情况发生是好的选择。
渣打银行最新报告指出,KelpDAO 的 rsETH 被盗事件虽对 DeFi 生态造成严重冲击,但并不足以改变现实世界资产(RWA)代币化长期增长趋势,仍维持其预测:到 2028 年底,RWA 代币化市场规模将从 2025 年 10 月的 350 亿美元增长至 2 万亿美元,核心驱动力仍将来自 DeFi 银行体系与稳定币流动性的持续扩张。渣打数字资产研究主管 Geoffrey Kendrick 表示,此次事件更像是 DeFi“被压弯而非被击碎”(Bent, not broken),甚至可能成为行业走向更强韧结构的重要转折点。(The Block)
据 CertiK 披露,Syndicate 协议因 Commons 跨链桥遭到攻击,发生一起漏洞利用事件。攻击者通过上述漏洞获取约 1850 万枚 SYND 代币,并将其出售,套现约 33 万美元。目前,相关资金已通过跨链桥转移至以太坊网络。 Syndicate 官方回应,正在调查 Commons 桥的安全泄露事件。团队正在追踪攻击行为,并与安全公司合作。团队还在考虑各种方案,以补偿受影响的用户。Syndicate 拥有足够的代币可用,以帮助那些丢失 SYND 的用户。
据 Arkham 监测,Kyber Network 黑客正在将被盗资金转移至 Tornado Cash。该黑客 Andean Medjedovic 曾于 2023 年末从 KyberSwap 窃取 4880 万美元资金,此前还曾攻击 Indexed Finance 并窃取 1650 万美元。其已于 2025 年遭 FBI 起诉。
据 SlowMist 监测,由于 EIP-7702 账户存在设计缺陷,某 QNT 储备池遭受攻击,损失 1988.5 枚 QNT,价值约 54.93 枚 ETH。攻击根源在于该储备池的管理员身份由地址持有,该地址通过 EIP-7702 将其代码委托给 BatchExecutor 合约。由于 BatchExecutor 授权了无权限控制的 BatchCall 合约作为调用者,且 BatchCall.batch 函数缺乏权限检查,导致攻击者利用任意调用漏洞提取了池内代币。
据 a16z 披露,其研究人员对 AI 代理能否独立完成 DeFi 价格操纵漏洞利用进行了系统测试。研究以 20 起以太坊价格操纵事件为数据集,使用配备 Foundry 工具链的 Codex(GPT 5.4)作为测试代理。在无领域知识的基准条件下,代理成功率仅为 10%;引入基于真实攻击事件提炼的结构化领域知识后,成功率提升至 70%。 失败案例显示,代理均能准确识别漏洞,但普遍无法理解递归借贷的杠杆逻辑、错误判断盈利空间,以及无法组装跨合约的多步骤攻击结构。实验还记录到一起沙箱逃逸事件:代理通过提取本地节点配置中的 RPC 密钥,调用 anvil_reset 方法将节点重置至未来区块,绕过信息隔离限制并获取真实攻击数据。 研究团队认为,AI 代理目前可有效辅助漏洞识别,但尚不能替代专业安全审计人员。
据 ZetaChain 官方披露,4 月 27 日,ZetaChain 遭受一次定向漏洞攻击,攻击者事先通过 Tornado Cash 获取资金并实施钱包地址欺骗,最终利用 GatewayEVM 任意调用功能漏洞,在 4 条关联链上造成约 33.4 万美元损失。 ZetaChain 表示,此次攻击未影响跨链 $ZETA 转账,受影响钱包均为 ZetaChain 自控地址,用户资金未受损失。目前主网补丁已完成部署,跨链交易将在持续监控后恢复开放。
据 Dark Web Informer 披露,去中心化预测市场平台 Polymarket 疑遭黑客入侵,威胁行为者 xorcat 在一知名网络犯罪论坛发布了逾 30 万条数据记录及配套漏洞利用工具包。数据提取日期为 2026 年 4 月 27 日。 据称,攻击者通过未公开的 API 端点、分页绕过及 Polymarket Gamma 与 CLOB API 的 CORS 错误配置提取数据。泄露内容包括:1 万个用户完整个人信息(含姓名、代理钱包及基础地址)、4111 条评论、1000 条举报记录(含 58 个 ETH 地址及管理员认证地址标识)、48536 个 Gamma 市场元数据、逾 25 万个活跃 CLOB 市场的固定乘积做市商地址,以及 9000 个关注者社交图谱数据。 工具包中包含多个漏洞的概念验证代码,涉及 CVE-2025-62718(Axios NO_PROXY 绕过,CVSS 9.9,可触发服务端请求伪造)、CVE-2024-51479(Next.js 中间件认证绕过,CVSS 7.5)及 CORS 错误配置等。此外,工具包还附有自动化持续拉取脚本及完整红队报告(含 M
据 Tropykus 官方披露,去中心化借贷协议 Tropykus 宣布启动现版本协议的渐进式关闭流程,存款与借贷功能将永久停用,用户可通过 tropykus.com 进行提款及还款操作,截止日期为 2026 年 7 月 27 日,此后相关操作将仅支持直接与智能合约交互。 团队表示,此次关闭决定系出于长期战略演进考量,并非源于此前 Money on Chain 合作方收到的安全报告。该报告此前已促使协议预防性暂停存款与新增借贷功能,但团队强调,关闭决定早于该事件已在内部讨论,安全事件仅起到加速作用。在技术层面,团队指出,原有架构设计于早期技术环境之下,面对人工智能等新兴技术带来的安全挑战,现有架构已难以满足长期发展需求。 团队建议所有用户在 2026 年 7 月 27 日前通过 tropykus.com 完成提款并结清借贷头寸,逾期后操作将需具备直接与智能合约交互的技术能力。
据链上分析师 PeckShield(@PeckShieldAlert)监测,一名用户持有的 Alchemix Yearn yvVault 头寸(代币 $yvWETH)遭到攻击,损失估计约 100 万美元。 攻击根源在于该用户此前曾向一个未经验证的合约授权(合约地址:0x143a),该合约于 10 天前部署。经反编译分析,该合约存在漏洞,可被利用执行任意调用(arbitrary call execution)。攻击者通过上述漏洞,成功转移了受害者的 yvVault 头寸。 目前,PeckShield 已公开披露该漏洞的具体逻辑。建议用户检查并撤销对未知或未经验证合约的代币授权,以降低资产风险。
据链上分析师 PeckShield(@PeckShieldAlert)监测,Trading Protocol 旗下金库 YieldCore-3rd-deal 遭到攻击,损失约 39.8 万美元。 攻击原因系合约存在调用者权限校验缺失漏洞,攻击者利用该漏洞绕过授权机制,将金库内资金全部提取。目前相关链上交易记录已被披露。
过去十年(2016–2026)累计损失 171 亿美元,涉及 518 起事件;过去五年(2021–2026)约损失 152 亿美元,涉及 450 余起事件;过去一年(2025 年 4 月–2026 年 4 月)约损失 25 亿美元,涉及 140 余起事件。近期损失显示,加密攻击已从智能合约漏洞转向私钥泄露和访问控制。(Solid Intel)
据 Cointelegraph 报道,Robinhood 用户近期遭遇一轮钓鱼攻击。攻击者利用 Gmail 忽略邮箱用户名中 “ . ” 的特性,以及 Robinhood 账户创建流程中的漏洞,注册与目标邮箱高度相似的账户,并借此让 Robinhood 官方邮件服务器向受害者收件箱发送带有钓鱼链接的伪造提醒邮件。网络安全研究员 Alex Eckelberry 表示,该邮件可通过 SPF、DKIM 和 DMARC 验证,看似来自官方地址。 Robinhood 称,此事并非系统或客户账户遭入侵,用户资金和个人信息未受影响,但提醒用户删除相关邮件,勿点击可疑链接。
慢雾发文表示,ZetaChain 遭攻击利用,初步分析显示漏洞根源在于 GatewayZEVM 合约 call 函数缺乏访问控制与输入验证,攻击者可借此发起恶意跨链调用,并通过中继机制在目标链执行任意操作转移资金。慢雾称,攻击者通过伪造跨链事件触发中继器执行恶意调用,从而完成资金窃取,目前相关攻击交易已被披露。
据官方消息,ZetaChain 表示,其 GatewayEVM 合约今日遭遇攻击,影响范围仅限 ZetaChain 团队内部钱包。官方称,相关攻击路径已被阻断,暂无更多资金面临风险。作为预防措施,ZetaChain 已暂停跨链交易。与此同时,官方表示调查仍在进行中,目前暂无用户资金受到此次攻击影响,后续将在调查完成后发布详细事后分析报告。
Circle Ventures、Consensys 及 Joseph Lubin 宣布支持 DeFi United 行动,旨在缓解 Kelp DAO 漏洞造成的损失。Circle Ventures 正通过购买 AAVE 代币支持该生态系统。Consensys 及以太坊联合创始人 Joseph Lubin 确认为 DeFi United 提供 3 万枚 ETH。目前 DeFi United 已筹集超过 13.2 万枚 ETH,总价值超过 3 亿美元。相关资金将用于弥补因攻击者通过 LayerZero 桥铸造无抵押 rsETH 并在 Aave 借出资产导致的坏账。此前 Aave 已提议捐赠 2.5 万枚 ETH,Lido DAO、Ether.fi 及 Kelp 也分别提议或承诺捐赠 2500 枚 ETH、5000 枚 ETH 及 2000 枚 ETH。
据 Ai 姨监测,Galaxy Digital OTC 关联地址 (0x16F...1Fde) 向交易所充值 1.5 万枚 ETH,价值 3474 万美元。该笔资金来源为一周前从 Aave 取出的 3.8 万枚 ETH,即 Kelp DAO 被攻击致使 Aave 疑似出现坏账当日。
法国国家有组织犯罪检察官办公室(PNACO)周五发布公告表示,法国已针对 12 起有组织犯罪团伙策划的加密货币绑架案件展开司法调查,目前已起诉 88 名嫌疑人,其中包括 10 余名未成年人。据统计,自 2023 年以来,法国共记录 135 起与加密货币相关的袭击事件,其中 2024 年 18 起,2025 年 67 起,2026 年至今已发生 47 起。被起诉人员涉及绑架、非法拘禁、勒索及洗钱等罪名。近期,警方在两场针对绑架案的行动中逮捕 6 名嫌疑人,目前所有人员均已被预防性拘留。CertiK 区块链情报分析师 Jonathan Riss 表示,此类犯罪团伙的主谋通常位于欧盟以外。