同时关联该项目与事件的快讯
Syscoin 发布桥接安全事件报告,披露 UTXO-to-NEVM 桥接漏洞事件详情,据悉此次事件导致约 50 亿枚 SYS在 UTXO 侧被未经授权释放。相关资金随后已返回官方恢复地址,并通过标准 OP_RETURN 方式销毁,使其无法再次被协议使用,链上报告的 SYS 供应量恢复至预期值,目前桥接功能仍处于暂停状态,团队正在完成最终审查与修复。
Humanity 公布 Quantstamp 独立调查结果称,本次超 3100 万美元安全事件源于钓鱼攻击导致私钥泄露。攻击者随后控制合约并抛售代币,所使用工具和手法具有朝鲜黑客组织常见特征。
据链上安全平台 Blockaid(@blockaid_)监测,MILC Platform 跨链桥在 BNB 链及以太坊链上发生私钥泄露事件。攻击者利用历史桥接管理员钱包,向攻击者地址授予 DEFAULT_ADMIN_ROLE 及 MANAGER_ROLE 权限,随后从桥接合约中提取资产,并将管理控制权转移至攻击者钱包。目前已确认损失约 97,003 枚 USDT(BNB 链)及约 39.21 枚 ETH(以太坊链,经 Rhino.fi 转出),合计损失约 16.1 万美元。
Humility Protocol 在 X 平台发布安全事件更新,其中指出昨日 H 代币在以太坊和 BSC 链上遭遇协同攻击,目前确认已有超过 3600 万美元资产被盗并遭抛售。初步调查显示,此次事件源于一名员工的电脑被攻破,导致控制 Hyperlane Bridge ProxyAdmin 的多重签名钱包密钥泄露。其中,攻击者获取以太坊链上 Gnosis Safe 6 个持有者中的 3 个私钥,将 ProxyAdmin 所有权转移至其控制的钱包,并将桥接合约升级为恶意实现,随后通过单笔交易转移约 1.412 亿枚 H 代币。与此同时,攻击者还控制了 BSC 链上 Safe 钱包 5 个持有者中的 3 个私钥,以相同方式接管 ProxyAdmin,并部署具备无限增发功能的恶意合约,分两次向自身钱包增发 2 亿枚 H 代币。Humility 表示,已暂停受影响桥接服务的所有存取款操作并正与交易所等相关合作方协作以减少损失,同时正配合警方展开调查,并尝试追回部分被盗资金。
Syscoin 发布跨链桥事件初步复盘称,因桥接流程中的验证问题,攻击者利用交易证明校验异常,在 UTXO 侧通过受影响的桥接路径异常生成约 50 亿枚 SYS 。
据链上安全机构 CertiK(@CertiKAlert)监测,Gravity Bridge 攻击者近日再度向 Tornado Cash 存入 1180枚 ETH(约 206 万美元)。 此前于 5月 30 日,攻击者通过伪造 Osmosis 代币字符串、利用 permissionless deployERC20()函数篡改代币注册表,将虚假余额映射至真实托管资产,从而从 Gravity Bridge 盗取约 2600枚 ETH(约 540 万美元)。目前,被盗资产中 2020枚 ETH 已通过两个 EOA 地址转入 Tornado Cash,其余部分已分散转移至中心化交易所,资金追回难度较大。
据 Specter 发文,其联合 ChangeNOW 冻结了 Gravity Bridge 被盗资金中的 9.1 万美元。攻击者仍持有大部分资金,尚未转移。此前消息,Gravity Bridge 桥接合约密钥遭泄露,导致 540 万美元资产被盗。攻击者提取的资产包括:430 万美元 USDC、274 枚 WETH(价值约 55.3 万美元)、43.4 万美元 USDT、6.4 万美元 PAYG。涉事地址为 0x7B58...1F9 及 0x4d3c...A47。
Cosmos 生态跨链桥 Gravity Bridge 疑似因签名密钥遭泄露而遭到攻击,约 540 万美元资产被盗,目前官方已确认遭遇安全事件并紧急暂停桥接服务以展开调查,同时还要求验证者暂停验证节点和协调器运行,据悉其合约密钥可能已被攻破。
Blockaid 在 X 平台发文披露,Alephium TokenBridge 以太坊跨链桥遭遇攻击。攻击者通过控制 4 个 Guardian 密钥中的 3 个,伪造 VAA(验证授权消息)并在约 7 分钟内完成攻击,共窃取约 81.5 万美元资产。攻击过程中,攻击者凭空铸造 1376 万枚封装 ALPH(Wrapped ALPH),超过攻击前流通供应量的 100%,同时从托管池中解锁并转出 USDT、USDC、WBTC 和 WETH 等资产。目前,攻击者地址仍持有约 81.5 万美元被盗资产及 1376 万枚无抵押支持的封装 ALPH,其中最大一笔异常交易为凭空铸造 1376 万枚封装 ALPH。
链上监测显示,跨链桥 Gravity Bridge 或因合约密钥泄露遭遇安全事件,涉及 USDC、WETH 和 USDT 等资产,总损失约 540 万美元。
据 PeckShield 监测,Verus 的 Verus-Ethereum Bridge 已遭黑客攻击,损失资产包括 103.6 枚 tBTC、1625 枚 ETH 及 14.7 万枚 USDC,黑客随后将盗取资产兑换为约 5402.4 枚 ETH,攻击者地址约于 14 小时前通过混币协议 Tornado Cash 获得 1 枚 ETH 初始资金。
Blockaid 在 X 平台发文表示,漏洞检测系统发现 Verus 以太坊跨链桥遭受攻击,目前已造成约 1158 万美元损失。
Sky(原 MakerDAO)在 X 平台发文表示,受 rsETH 相关漏洞事件安全审查影响而暂停的 USDS OFT 在 Solana 网络上的跨链桥接已恢复运行。Sky 强调,在审查期间其 USDS 相关合约及协议本身未受到影响,USDS 始终按照设计保持完全超额抵押状态,并可在链上实时验证。此次暂停属于预防性安全措施。目前 Solana 侧桥接功能已重新开放,而 Avalanche 相关桥接将在完成进一步审查后恢复。
Syndicate 在 X 平台发文表示,关于 Syndicate 桥接安全事件的最新进展,所有 Commons Chain 上受影响的 SYND 持有者已获得全额补偿,并额外获得损失总额 15%的赔付。相关款项已直接发送至受影响用户的 Base 链钱包,Gas 费用由 Syndicate Labs 承担。此次赔付总计 1290.1 万枚 SYND,无需通过任何申领页面操作。
据 Cointelegraph 报道,美国律师事务所 Gerstein Harrow LLP 向纽约地区法院申请限制令及三份执行令状,要求阻止 Arbitrum DAO 转移因 Kelp 漏洞而冻结的 30,766 枚 ETH(价值约 7300 万美元)。该律所主张,其客户曾于 2010、2015、2016 年在美国法院赢得针对朝鲜的缺席判决,合计享有约 8.77 亿美元赔偿权益,并认为上述被盗 ETH 属于朝鲜关联财产,理应用于抵偿债务。 Kelp DAO 于 4 月 18 日遭受价值 2.92 亿美元的黑客攻击,攻击者被认定为朝鲜国家支持黑客组织 Lazarus Group 旗下的 TraderTraitor。Aave Labs 此前已提议将冻结资金解冻并转入"DeFi United"基金,用于补偿 rsETH 持有者,但该律所的法律行动或将令受害者等待周期大幅延长。 Arbitrum DAO 社区成员对此提出批评,认为此举将朝鲜债务的代价转嫁至另一批受害者,进一步加重了原有损害。Gerstein Harrow 此前亦曾就 2023 年 Heco Bridge 黑客事件中 Teth
Syndicate Labs 披露其遭遇一次安全事件:攻击者通过私钥泄露入侵系统,并在两条链上对跨链桥合约进行恶意升级,导致约 1850 万枚 SYND 及约 5 万美元用户资产被转移,此次攻击源于开发端点被入侵,攻击者利用生产环境权限将桥接合约升级至恶意版本,但其他链未受影响,损失情况包括:Commons 桥:约 1850 万 SYND 被转移并出售,折合约 33 万美元;另一条 Appchain:约 5 万美元用户资产被转移。Syndicate Labs 表示,受影响的 SYND 持有人将获得全额补偿,并额外获得超额赔付,整体持仓将高于事件发生前水平;Appchain 受影响用户也将按损失全额赔付。
据 CertiK 披露,Syndicate 协议因 Commons 跨链桥遭到攻击,发生一起漏洞利用事件。攻击者通过上述漏洞获取约 1850 万枚 SYND 代币,并将其出售,套现约 33 万美元。目前,相关资金已通过跨链桥转移至以太坊网络。 Syndicate 官方回应,正在调查 Commons 桥的安全泄露事件。团队正在追踪攻击行为,并与安全公司合作。团队还在考虑各种方案,以补偿受影响的用户。Syndicate 拥有足够的代币可用,以帮助那些丢失 SYND 的用户。
据 CoinDesk 报道,Kelp DAO 基于 LayerZero 的跨链桥遭攻击,攻击者转出 116,500 枚 rsETH,按当前价格计算约价值 2.92 亿美元,占其流通供应量约 18% 。此次事件已成为 2026 年迄今规模最大的 DeFi 攻击。受事件影响,Aave、SparkLend、Fluid 已冻结 rsETH 相关市场,Lido Finance 暂停 earnETH 产品新增存款。 Kelp DAO 表示,正与 LayerZero、审计机构及外部安全专家共同调查。
链上数据显示,Kelp DAO 基于 LayerZero 的 rsETH 桥接协议疑似遭黑客利用,损失 116500 个 rsETH,价值约 2.92 亿美元。Kelp DAO 官方表示,已发现涉及 rsETH 的可疑跨链活动,现已暂停主网和多个 Layer2 上的 rsETH 合约,正在与安全专家合作,后续将通报最新情况。
去中心化 GPU 云计算基础设施平台 Aethir 确认其以太坊相关桥接合约遭遇攻击,团队已及时断开受影响合约,并联合主要交易所对黑客钱包进行黑名单处理,将损失控制在 9 万美元以内。 此前区块链安全公司 PeckShield 估算损失为 40 万美元,攻击者利用 Aethir 的跨链智能合约 AethirOFTAdapter,将被盗资金从 BNB Chain 转移至 Tron。Aethir 表示其以太坊主网 ATH 代币供应未受影响,计划于下周公布详细赔偿方案及事件分析,并与 Binance、Upbit、Bithumb 等交易所协作冻结资金。Web3 安全平台 ZeroShadow 参与调查。Aethir 2025 年实现收入 1.278 亿美元,全球部署超 44 万 GPU 容器。