同时关联该项目与事件的快讯
美国总统科学与技术顾问委员会联席主席 David Sacks 发文回应 Anthropic“安全争议”引发管制,他表示已就当前 Anthropic 相关情况与多方进行了沟通,并总结称当前事件的核心在于其新发布模型 “Fable”(对应 Mythos 类模型的商业版本)所引发的安全争议。尽管 Anthropic 在公开声明中称该漏洞“不严重”,但美国政府及测试方均不认同这一判断,认为其已足以影响模型安全性,甚至涉及“网络武器可操作性”风险。David Sacks 进一步批评称,Anthropic 过去一直强调“安全优先”,但此次更倾向维持消费者版本持续上线,而非优先修复安全问题。此事不应与此前其他国防或监管争议混为一谈,并称美国政府仍认可 Anthropic 技术能力,当前问题“本可迅速解决,主动权在 Anthropic 一方”。
Bitcoin Core Project 发布安全公告,确认在 31.0 版本中引入的 -privatebroadcast 功能存在隐私漏洞。
Sui 官方发布公告,主网因 1.72 版本 Gas 计费逻辑存在漏洞出现宕机,全网交易及链上活动暂时中断。目前 Sui Core 团队已完成应急处置,主网恢复正常运行。官方表示,后续将对外发布完整复盘报告,详解事故成因与修复方案。
Squid在 X 平台发文表示,此次事件与 Squid 核心协议及合约无关,所有 Squid 用户及集成方均未受影响,无需采取任何行动。今日 Base 与 Ethereum 网络上一个第三方 Gnosis Safe 模块遭到攻击,损失约 320 万美元。该漏洞合约在 Basescan 上验证名称为"SquidRouterModule",但该合约并非由 Squid 构建、部署或运营,而是一个选择集成 Squid 及其他协议的第三方智能钱包产品,且与 Squid 无联系。攻击原理为该第三方模块接受调用者提供的常量字符串作为消息安全证明,该字符串在已验证合约代码中公开可见,攻击者输入后即可执行任意 calldata 数组,随意窃取资金。受害者的 Safe 钱包将该问题合约添加为受信任 Safe Module,使该合约无需签名即可支配 Safe 内任意代币。Squid 自有路由合约 (0xce16...D666) 架构不同,未受影响,Squid 用户资金、授权及集成均完全安全。早期公开报道或因 Basescan 上的合约验证名称提及"SquidRouter",准确表述应为:第三方 SquidRouterModule 遭攻击,而非 Squid 的 Router 合约。该合约名称与 Squid 相同,但非 Squid 代码。Squid 正持续监控事态,如有重大变化将更新信息。
据官方消息,AaveLabs 提议将 Aave DAO 漏洞赏金框架重组为多个特定子系统计划,分别在 Immunefi、Sherlock 和 Cantina 平台上运行。Core Aave V3、Core Aave V2、GHO 及非流动性协议基础设施由 Immunefi 覆盖,Aave V4 和 Aave App Stack 由 Sherlock 覆盖,Aptos 上的 Aave V3 由 Cantina 覆盖。提案建议调整各系统赏金规模,Core Aave V3 严重漏洞最高奖励为 500 万美元,Aave V4 严重漏洞最高奖励为 250 万美元。此外,Aptos 上的 Aave V3 漏洞赏金出资方将从 Aave Labs 转移至 Aave DAO。目前该 ARFC 提案已获得通过。
Aave 发文表示,其漏洞赏金计划已更新,以便更好地使奖励与生态系统中每个部分的风险状况相匹配,并简化审查路径。Aave V4 和 Core Aave V3 的严重漏洞修复奖励上限现已提高五倍。
据 CoinDesk 报道,在 Consensus Miami 的"永续 DEX 爆发:看涨交易量与熊市韧性"主题论坛上,多位业内人士表示,机构投资者目前仍大量回避提供永续合约交易的去中心化交易所(Perp DEX)。资深交易员 Wizard of SoHo 指出,Drift 平台近期遭受数百万美元黑客攻击,凸显了 DeFi 生态的安全隐患,能否安全引入机构资金将成为各大 Perp DEX 的核心竞争焦点。Canary Labs 的 Anderson 则表示对 DeFi 目前的安全状况感到担忧,认为大型机构采用去中心化交易所的难度远高于中心化平台。 此外,DeFi 无许可的开放设计与机构严格的 KYC 合规要求之间的结构性矛盾,也被认为是规模化落地的关键障碍。MN Fund 创始人 Michaël van de Poppe 则就 AI 交易工具发表看法,认为 AI 代理本质上是算法交易的进化延伸,未来交易将趋向全面自动化。
Bitcoin Core 开发者披露编号为 CVE-2024-52911 的高危漏洞,该漏洞影响 0.14.1 至 28.4 版本,攻击者可通过构造特殊区块使其他节点远程崩溃并执行代码。该漏洞由开发者 Cory Fields 于 2024 年 11 月发现并私下报告,修复方案已于 2024 年 12 月完成合并,并在 2025 年 4 月发布的 v29 版本中正式上线。目前,28.x 系列最后一个存在漏洞的版本已于 2026 年 4 月 19 日停止维护。但由于比特币节点升级属于自愿行为,估算显示目前仍约有 43%的节点运行受影响旧版本,存在潜在安全风险。
慢雾创始人余弦于 X 平台发文表示,“Ekubo 有关合约被恶意利用。原因是如果用户之前将相关代币授权给:0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd;如这位用户 0x765DEC 的这笔 WBTC 无限授权(158 天前):攻击者可指定已授权用户作为 payer,在 payCallback 中让该合约调用 WBTC transferFrom(victim, Ekubo Core, amount),再通过 Ekubo Core(0xe0e0e08A6A4b9Dc7bD67BCB7aadE5cF48157d444) 的 withdraw/pay 平账流程把资产转给攻击者。这个操作执行了 85 次,每次 0.2 WBTC,最终用户 0x765DEC 损失 17 WBTC。建议用户尽快安装官方提醒检查以下合约授权:0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum: 0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)。”
Aave 风险服务商 LlamaRisk 发布事件报告,2026年 4月 18 日,攻击者利用 Kelp 的 LayerZero V2 Unichain 至以太坊 rsETH 路由漏洞(1-of-1 DVN 配置缺陷),伪造入站数据包,从以太坊端适配器非法释放 116,500枚 rsETH,并将其中 89,567 枚作为抵押品存入 Aave V3 多个市场(涉及以太坊 Core 及 Arbitrum 等链),借出约 82,650枚 WETH(约 1.91 亿美元)及 821枚 wstETH。 目前适配器仅剩 40,373枚 rsETH,而远端链 rsETH 总索赔量达 152,577 枚,缺口巨大。根据损失分配方式不同,Aave 面临两种坏账情景:情景一(全局均摊)预计坏账约 1.237 亿美元,以太坊 Core 承压最大;情景二(损失仅限 L2)预计坏账约 2.301 亿美元,Mantle 面临高达 71.45%的 WETH 储备缺口,Arbitrum 为26.67%。 事件发生后,Aave 协议守护者及风险管理员已于第一时间冻结全部 11 个市场的 rsETH/wrsETH 储备
比特币核心开发者 Jameson Lopp 表示,相较于未来可能出现的量子计算攻击,他更倾向于将约 560 万枚长期沉睡的 BTC 从网络中“冻结”,而不是让其被攻击者获取,这些比特币已超过 10 年未移动,可能已永久丢失,按当前价格估值约 4200 亿美元,若未来量子计算突破导致旧地址私钥被破解,这部分资产可能被重新转移,从而引发市场剧烈波动甚至信心危机,虽然社区近期已提出 BIP-361 提案但该提案仍处于早期阶段,并非正式推动方案,而更像是一种应对“极端风险”的预案。(CoinDesk)