同时关联该项目与事件的快讯
据链上安全机构 CertiK(@CertiKAlert)监测,Gravity Bridge 攻击者近日再度向 Tornado Cash 存入 1180枚 ETH(约 206 万美元)。 此前于 5月 30 日,攻击者通过伪造 Osmosis 代币字符串、利用 permissionless deployERC20()函数篡改代币注册表,将虚假余额映射至真实托管资产,从而从 Gravity Bridge 盗取约 2600枚 ETH(约 540 万美元)。目前,被盗资产中 2020枚 ETH 已通过两个 EOA 地址转入 Tornado Cash,其余部分已分散转移至中心化交易所,资金追回难度较大。
区块链安全机构 CertiK 发布数据显示,2026 年 5 月加密领域因黑客攻击、漏洞及诈骗造成的总损失约 6830 万美元,较 4 月超 6.5 亿美元的规模下降近 90%,这也是今年行业第三个单月损失低于 1 亿美元的月份。其中钓鱼攻击带来的损失约 260 万美元。4 月受 Drift Protocol、KelpDAO 两起重大攻击影响,行业损失飙升,两起事件合计占当月损失约 95%,令 4 月成为近年损失最惨重的月份之一。机构提醒,协议级大型攻击虽有所减少,但钓鱼、深度伪造、凭证泄露等风险不断增加,攻击重心逐步转向人员与身份体系。此次损失回落仅是缺少特大安全事件,行业整体安全隐患并未根本消除,跨链桥漏洞、内部威胁等仍是主要风险。(Financefeeds)
CertiK 数据显示,5 月加密平台攻击损失降至 6830 万美元,较 4 月的 6.5 亿美元下降近 90%。5 月成为 2026 年第三个损失低于 1 亿美元的月份。其中约 260 万美元来自钓鱼攻击,约 940 万美元被盗资金已被追回或返还。5 月最大单笔损失来自 Verus Protocol 跨链桥攻击,被盗 1150 万美元;THORChain 排名第二,被盗 1010 万美元。代码漏洞是损失最高的攻击类型,约 4500 万美元,占 66%;钱包或私钥泄露导致 1370 万美元损失。跨链桥是主要攻击目标,损失 2860 万美元,占 42%。(Cointelegraph)
据 CertiK 监测,跨链聚合协议 Transit Finance 攻击者已向 Tornado Cash 存入 832.9 枚 ETH,价值约 180 万美元。
CertiK 联合创始人兼 CEO Ronghui Gu 表示,AI 工具正在加剧 DeFi 安全攻防失衡,使攻击者更容易发现漏洞并在不同协议间复制攻击路径。他指出,今年 4 月 DeFi 安全形势尤其严峻,当月只有 3 天未发生黑客攻击,DeFi 协议累计损失超过 6.9 亿美元。若排除 2025 年 2 月 Bybit 攻击事件,4 月已成为自 2022 年 3 月以来 DeFi 黑客损失最高的月份。顾荣辉认为,攻击者可以集中大量算力反复测试单一协议,而安全公司则需要同时服务多个客户,资源分散,因此防守端天然处于劣势。同时,近期攻击重点也正从智能合约漏洞,转向运营安全和供应链薄弱环节。他强调,AI 即使长时间未发现漏洞,也不能证明代码完全安全;在现有技术条件下,形式化验证仍是更可靠的安全保障方式。
Web3 安全公司 CertiK 发布《Skynet 朝鲜加密威胁报告》。数据显示,自 2016 年至今,朝鲜黑客组织已累计掠夺约 67.5 亿美元数字资产。仅 2025 年,其制造的盗窃案损失便高达 20.6 亿美元,占全球加密行业全年总损失的近 60%(其中包括 15 亿美元的 Bybit 被盗案)。截至 2026 年初,这一威胁趋势仍在延续,其造成的损失占比约为 55%。报告强调,朝鲜黑客的攻击模式已发生根本性转变,正从单纯的代码漏洞利用,升级为结合社会工程学、深层供应链攻击及“物理渗透”的国家级攻击体系。在近期的 Drift 协议事件中,攻击者甚至耗时半年潜伏于线下行业会议,通过真实资金与人际交往建立信任后实施攻击。CertiK 安全专家警告,面对此级别的系统性攻击,单纯的技术防线已显薄弱。加密机构亟需全面落实“零信任”招聘模式,加固第三方供应链,设置资金熔断机制,并联合专业安全机构构建覆盖代码审计、全天候风险监测与链上反洗钱/KYT(了解你的交易)资金追踪的全生命周期防御体系。
据 The Block 报道,加密安全机构 CertiK 于5月 8 日发布报告指出,2026 年前四个月全球已确认 34 起加密"扳手攻击"事件(即针对加密资产持有者的线下物理袭击与勒索),较 2025 年同期增长 41%,受害者损失合计约 1.01 亿美元。若趋势延续,预计全年事件数将达约 130 起,损失或高达数亿美元。 地域分布方面,34 起事件中有 28 起(占 82%)发生在欧洲,法国尤为突出,仅 2026 年前四个月已记录 24 起,超过 2025 年全年 20 起的总量。CertiK 将此归因于法国拥有 Ledger、Binance 等旗舰加密企业、数据泄露事件频发,以及社区内"炫富与主动人肉"文化盛行。相比之下,美国一季度报告事件数从 2025 年的 9 起降至 3 起,亚洲从 25 起降至 2 起。 攻击模式方面,CertiK 指出犯罪团伙已转向"数据驱动式锁定目标"模式,通过向数据中间商购买受害者姓名、住址及资产信息,减少实地踩点需求。今年逾半数事件涉及对受害者家属(配偶、子女、年迈父母)的威胁或直接伤害,以此作为施压手段。实施层面,3至 5 人的小型团伙通常经由
CertiK 报告显示,2026 年前四个月全球已发生 34 起“扳手攻击”(线下暴力或胁迫获取加密资产)事件,同比增长 41%,累计损失约 1.01 亿美元。报告指出,攻击模式正转向“数据驱动”,即事先收集受害者信息,并将其家属等“代理目标”纳入威胁范围以施压。地区上,欧洲占比达 82%,其中法国最为集中。业内认为,此类攻击已成为加密资产持有者的重要安全风险。
据 CertiK Alert 监测,某攻击者窃取约 587 万美元资金。其利用公开函数注册成为 AllowedOrderSigner,随后执行订单从受害者地址转移预授权资金。CertiK 提醒用户立即撤销对该漏洞合约的授权,并保持警惕。
据 CertiK Alert(@CertiKAlert)监测,2026 年 4 月全月加密安全事件累计损失约 6.51 亿美元,其中约 350 万美元源于钓鱼攻击。这是自 2022 年 3 月(约 7.15 亿美元)以来损失最高的单月记录,仅次于 2025 年 2 月 Bybit 被盗事件(不计入对比)。
据区块链安全机构 CertiK(@CertiKAlert)监测,Wasabi Protocol(@wasabi_protocol)发生安全漏洞,目前已有约 290 万美元资金被盗。初步调查显示,攻击者通过 Wasabi 部署钱包被入侵后获得特权角色,进而实施攻击。被盗资金目前分散存储于以下地址:0xb8Bb...70dB(约 67.7 万美元)及 0x6244...f906(约 110 万美元),事件仍在持续调查中。
据 CertiK 披露,Syndicate 协议因 Commons 跨链桥遭到攻击,发生一起漏洞利用事件。攻击者通过上述漏洞获取约 1850 万枚 SYND 代币,并将其出售,套现约 33 万美元。目前,相关资金已通过跨链桥转移至以太坊网络。 Syndicate 官方回应,正在调查 Commons 桥的安全泄露事件。团队正在追踪攻击行为,并与安全公司合作。团队还在考虑各种方案,以补偿受影响的用户。Syndicate 拥有足够的代币可用,以帮助那些丢失 SYND 的用户。
法国国家有组织犯罪检察官办公室(PNACO)周五发布公告表示,法国已针对 12 起有组织犯罪团伙策划的加密货币绑架案件展开司法调查,目前已起诉 88 名嫌疑人,其中包括 10 余名未成年人。据统计,自 2023 年以来,法国共记录 135 起与加密货币相关的袭击事件,其中 2024 年 18 起,2025 年 67 起,2026 年至今已发生 47 起。被起诉人员涉及绑架、非法拘禁、勒索及洗钱等罪名。近期,警方在两场针对绑架案的行动中逮捕 6 名嫌疑人,目前所有人员均已被预防性拘留。CertiK 区块链情报分析师 Jonathan Riss 表示,此类犯罪团伙的主谋通常位于欧盟以外。
据 CertiK 高级区块链调查员 Natalie Newson 表示,实时深度伪造、网络钓鱼、供应链攻击及跨链漏洞将是 2026 年加密黑客攻击的主要根源。2026 年迄今行业已因黑客攻击损失逾 6 亿美元,其中包括 4 月发生的 Kelp DAO 2.93 亿美元漏洞事件及 Drift Protocol 2.8 亿美元被盗事件,两起事件均与朝鲜黑客组织有关。 Newson 警告称,AI 加速发展将使攻击手段更加复杂,包括更逼真的深度伪造、自主攻击代理及可自动扫描智能合约漏洞的"代理 AI",但 AI 同时也可作为防御工具。CertiK 建议投资者核实 URL 真实性、使用冷钱包存储资产以降低风险。
据 CoinDesk 报道,朝鲜黑客组织 Lazarus Group 正发起名为“ Mach-O Man ”的全新 macOS 攻击活动,目标包括加密货币、金融科技等高价值企业的高管与机构。该攻击通过“ ClickFix ”社会工程手法,诱导受害者在 Mac 终端粘贴命令,以获取企业系统、SaaS 平台及资金资源访问权限。CertiK 研究员表示,“ Mach-O Man ”是由 Lazarus Group 开发的模块化 macOS 恶意软件工具包,现已被其他网络犯罪团伙使用,且常在受害者察觉前自我删除,增加溯源与检测难度。此外,已有攻击者通过劫持 DeFi 项目域名并替换为虚假 Cloudflare 消息的方式实施该攻击。
据安全机构 CertiK(@CertiKAlert)监测,DeFi 协议 Rhea Finance 遭遇攻击,攻击者通过创建虚假代币合约并在新流动性池中注入流动性,疑似借此误导预言机及验证层,最终至少提取约 760 万美元资产。
据 PeckShieldAlert 监测,约 10 亿枚 Polkadot(DOT)代币已在以太坊(Ethereum)网络上被增发并抛售。目前事件细节仍在进一步核实中。 据 CertiK 监测,Hyperbridge 网关合约遭攻击,攻击者通过伪造消息,篡改了以太坊上 Polkadot 代币合约的管理员权限,并通过铸造并出售 10 亿枚代币获利约 23.7 万美元。