同时关联该项目与事件的快讯
美国司法部(DOJ)宣布,一名 22 岁加州男子 Evan Tangeman 因参与一个通过社交工程诈骗及入室盗窃盗取约 2.63 亿美元加密资产的犯罪组织,被判处 70 个月(约 5 年 10 个月)监禁,并附加 3 年监管释放期。根据起诉材料,Tangeman 于 2025 年 12 月认罪,承认协助该犯罪网络至少清洗 350 万美元非法资金。该犯罪团伙被指将赃款用于奢侈消费,包括数百万美元夜店账单、兰博基尼跑车及劳力士手表等高端资产。美国哥伦比亚特区检察官 Jeanine Pirro 在声明中表示,该组织“以近乎荒诞的贪婪构建犯罪体系”,并强调 Tangeman 不仅参与洗钱,还在同伙被捕后销毁证据,显示明显的犯罪意识。此次判决发生之际,数据显示 2026 年第一季度加密行业因诈骗与黑客攻击损失已达 4.82 亿美元,社交工程诈骗及线下暴力抢劫案件呈上升趋势。(Cointelegraph)
Lido 发起提案,拟由 DAO 拨出最多 2,500 枚 stETH(约 580 万美元),用于弥补 Kelp DAO 近期攻击事件导致的 rsETH 资产缺口。Lido 指出,此次基于 LayerZero 的漏洞利用已造成 rsETH 储备不足,并在 DeFi 生态中引发连锁反应,包括利率压力上升、借贷市场紧张以及部分杠杆策略面临被动清算风险。该提案强调,这笔资金仅会作为完整恢复方案的一部分使用,前提是整体缺口能够被完全填补。此前,Kelp DAO 约 2.92 亿美元的攻击事件已波及 Aave,引发坏账问题,其总锁仓价值(TVL)一度下滑近 80 亿美元。
据 Decrypt 报道,OpenAI 首席执行官 Sam Altman 表示,Anthropic 正借助“恐惧式营销”推广其 AI 模型 Claude Mythos,并以安全风险叙事为其有限开放策略提供依据。Claude Mythos 近期因可自主发现软件漏洞、执行复杂网络安全操作而引发关注。 报道提及,Mozilla 此前披露,该模型在测试中发现 Firefox 浏览器 271 个漏洞。与此同时,围绕该模型潜在进攻性网络安全风险的讨论持续升温。Altman 还表示,OpenAI 不会缩减基础设施投入,仍将继续扩展算力能力。
Ledger 首席技术官 Charles Guillemet 指出,后量子密码发展已进入关键阶段,虽然实用型量子计算机落地时间尚未明确,但全行业加密体系迁移已是必然趋势。在 NIST 主导下,传统领域计划 2030 年前淘汰高危算法、2035 年全面禁用,政企机构将在 2029 年前完成迁移布局。加密与密钥交换将采用 ML-KEM 抵御囤积数据量子解密攻击,数字签名成为区块链改造核心。传统行业偏好 ML-DSA 混合方案,区块链更青睐安全稳健的 SLH-DSA 哈希签名。两种方案各有优劣,且后量子算法与 MPC、门限签名的兼容难题,仍是行业亟待解决的关键风险。
深潮 TechFlow 消息,4 月 22 日,据彭博社援引杰富瑞报告称,上周末一场黑客攻击导致一个小型加密项目损失近 3 亿美元,并引发最大去中心化借贷平台约 100 亿美元资金外流,可能令华尔街对区块链技术的兴趣降温。Jefferies 数字资产研究团队成员 Andrew Moss 指出,银行、资产管理公司和支付公司过去一年一直在基于类似技术系统开发产品,而此次据称由朝鲜黑客利用的攻击事件,可能促使传统金融机构暂停推进相关布局并重新评估风险。
经济日报撰文《用好我国的词元优势》,其中指出要清醒认识到,词元可能面临泄露致身份被盗、伪造权限窃取敏感数据与代理返佣收割用户等潜在风险。一些不法分子开始打起了词元的主意,出现一些以“低价词元套餐”“词元代理”等为幌子的消费陷阱。要不断完善政策法规与标准体系,通过打击价格垄断、虚假宣传、非法金融活动来规范词元交易秩序。坚决遏制“囤积升值”炒作、“场外交易”投机等违法违规活动,引导词元回归技术服务、价值结算、权益流转的本源。
据 Cointelegraph 报道,DefiLlama 数据显示,过去 10 年加密领域共发生 518 起黑客事件,累计损失超过 170 亿美元,其中大量损失与私钥泄露、网络钓鱼及其他凭证类攻击有关。随着智能合约安全持续提升,攻击者正更多转向钱包安全、签名基础设施、开发工具及用户操作等环节。近期,Kelp DAO 的 rsETH 跨链桥遭攻击,约 11.65 万枚 rsETH 被盗,按当时价格计算价值约 2.9 亿至 2.93 亿美元。
据慢雾 CISO 23pds(@im23pds)披露,Anthropic 旗下 Claude Desktop 应用在用户安装时,会在用户完全不知情的情况下,向电脑中所有基于 Chromium 内核的浏览器写入一个特殊文件。该文件相当于预先授权的后门,一旦配合特定浏览器扩展使用,攻击者可获得对用户浏览器的完全控制权。
Lido 在 X 平台发文表示,4 月 18 日 Kelp 跨链桥遭攻击,约 11.65 万枚 rsETH(约 2.92 亿美元)被盗,随后相关资产在 Aave 等借贷市场被冻结。其金库产品 EarnETH 通过 Aave 上的 rsETH/ETH 杠杆头寸存在约 9%风险敞口(约 2160 万美元),同时借贷利用率上升正对其他策略产生成本压力。团队正推进去杠杆并降低整体风险。Lido 指出,rsETH 头寸的最终影响取决于 Kelp、LayerZero 与 Aave 的后续处置,包括损失分摊、资产追回及坏账处理等。在风险缓释方面,EarnETH 可在必要时启用 300 万美元“首损保护机制”(由 DAO 金库提供)以覆盖损失,具体使用规模仍待进一步评估。目前金库已暂停存取款,以确保公平并完成损失评估;若处理进展缓慢,或将按最坏折损预期重开赎回通道。官方强调,stETH 与 wstETH 未受影响,核心质押协议未参与本次事件。
据 CoinDesk 报道,Kelp DAO 将反驳 LayerZero 对其 2.9 亿美元 rsETH 跨链桥漏洞的说明,称遭攻破的单一验证器配置依赖的是 LayerZero 自身基础设施,且相关设置属于其默认接入方案,并非 Kelp DAO 违背建议的特殊选择。攻击者通过控制 LayerZero 用于校验跨链交易的服务器并干扰备用节点,盗走约 116,500 枚 rsETH 。Kelp DAO 表示,事件仅影响基于 LayerZero 的桥接层,其核心流动性再质押合约未受波及。LayerZero 随后回应称,将停止为任何使用单验证器设置的应用签署消息,并强制要求进行安全迁移。
据 DefiLlama 创始人 0xngmi 发文,KelpDAO 遭黑客攻击后,Aave 面临严峻的坏账处置压力,目前存在三种潜在解决方案:一是将损失在所有用户间社会化分摊,届时用户将承受 18.5%的减值,预计产生约 2.16 亿美元坏账,Aave 伞形保险可覆盖 5500 万美元,国库可再补 8500 万美元,仍余约 7600 万美元缺口;二是对 L2 上的 rsETH 持有者执行"rug pull",将产生约 3.41 亿美元坏账,Arbitrum、Mantle及 Base 市场损失最为惨重;三是依据攻击前快照向持有者返还资产,但操作难度极高,伞形保险覆盖后预计仍有约 9100 万美元损失。此外,有观点建议没收黑客抵押品以弥补部分坏账,同时 Aave OG 安全模块仍持有约 3 亿美元的 AAVE 代币,按 20%削减比例可额外提供约 6000 万美元的损失覆盖。
据 CoinDesk 报道,Kelp DAO 基于 LayerZero 的跨链桥遭攻击,攻击者转出 116,500 枚 rsETH,按当前价格计算约价值 2.92 亿美元,占其流通供应量约 18% 。此次事件已成为 2026 年迄今规模最大的 DeFi 攻击。受事件影响,Aave、SparkLend、Fluid 已冻结 rsETH 相关市场,Lido Finance 暂停 earnETH 产品新增存款。 Kelp DAO 表示,正与 LayerZero、审计机构及外部安全专家共同调查。
链上数据显示,Kelp DAO 基于 LayerZero 的 rsETH 桥接协议疑似遭黑客利用,损失 116500 个 rsETH,价值约 2.92 亿美元。Kelp DAO 官方表示,已发现涉及 rsETH 的可疑跨链活动,现已暂停主网和多个 Layer2 上的 rsETH 合约,正在与安全专家合作,后续将通报最新情况。
据 Elastic Security Labs 披露,威胁行为者冒充风险投资公司,通过 LinkedIn 和 Telegram 引诱目标打开携带恶意代码的 Obsidian 笔记库。此次攻击利用 Obsidian 的 Shell Commands 插件,在受害者打开笔记库时无需利用漏洞即可执行恶意载荷。 攻击中发现的 PHANTOMPULSE 是一种此前未被记录的 Windows 远程访问木马(RAT),其通过以太坊交易数据实现区块链 C2 通信。macOS 端载荷则采用混淆的 AppleScript 投递器,并以 Telegram 频道作为备用 C2。Elastic Defend 在 PHANTOMPULSE 执行前及时检测并阻止了该攻击。
比特币贡献者之一 Jameson Loop 和其他密码学家提出了一项举措,可能强制比特币持有者将其代币迁移到新的抗量子地址,否则其代币将被网络本身永久冻结。在这种情形下,持有者从技术上讲仍然 "拥有 "这些币,但将失去转移它们的能力。这被称为比特币改进提案 BIP-361,并于周二在比特币的官方提案库中更新,标题为 "后量子迁移与旧签名淘汰 "。BIP-361 建立在 2 月份提出的 BIP-360 提案之上。BIP-360 引入了一次软分叉(一种网络升级),旨在启用一种名为 "支付至默克尔根 "(P2MR)的新交易类型。这种方法借鉴了比特币的 Taproot(P2TR)框架,但去除了基于密钥的支出路径,从而移除了一个被广泛认为存在量子时代风险的元素。BIP-361 提案将迁移分为三个阶段。A 阶段在激活后三年启动,禁止任何人向旧式的、易受量子攻击的地址发送新的比特币。你仍然可以从这些地址中支出,但无法接收任何币。B 阶段在激活后五年启动,将使旧式签名(ECDSA 和 Schnorr)完全失效,网络将拒绝任何从易受量子攻击的钱包中支出币的尝试。本质上,你的币将被冻结。最后是 C 阶段,这是一个仍在研究中的救援方案:持有被冻结钱包的人有可能通过零知识证明(一种在不泄露秘密本身的情况下证明知道该秘密的方法)来证明所有权。如果成功,B 阶段冻结的币可以被找回。(CoinDesk)