同时关联该项目与事件的快讯
Zcash founder Zooko Wilcox 在 X 发文表示,由 Anthropic 的 Claude Mythos 人工智能模型进行的安全审计未在 Zcash 协议中发现“更严重漏洞”。该审计由支持 Zcash 发展的瑞士非营利组织 Shielded Labs 请求开展。 6 月 3 日,Zcash 开发者在发现屏蔽池漏洞后曾临时暂停 Orchard 交易,并于当天通过紧急升级恢复功能。该问题源于 Orchard 屏蔽池中一个存在四年的伪造漏洞,由安全研究员 Taylor Hornby 在 Anthropic 的 Claude Opus 4.8 模型协助下发现;Zcash Foundation 表示,没有证据显示该漏洞被利用,也未检测到未经授权的价值创造,用户隐私未受影响。Anthropic 于周二发布 Claude Mythos 模型首个公开版本 Fable 5,并于周五表示,因美国政府以国家安全担忧为由发布出口管制指令,已暂停 Fable 5 和 Mythos 5 AI 模型访问权限。(Cointelegraph)
据 Cointelegraph 报道,Zcash 创始人 Zooko Wilcox 表示,由 Shielded Labs 委托、Anthropic Mythos AI 模型对 Zcash 协议进行的安全审计未发现任何新的严重漏洞。此前,安全研究员 Taylor Hornby 借助 Claude Opus 4.8 发现了 Orchard 屏蔽池中一个存在四年的伪造漏洞,导致开发者于 6 月 3 日紧急暂停 Orchard 交易,并于当日完成修复,Zcash 基金会确认无证据显示该漏洞曾被利用,用户隐私未受影响。
Coinbase 牵头的密码学专家顾问委员会发布报告称,比特币应立即开始为潜在量子计算攻击做准备,但对于是否应冻结未来可能被量子计算窃取的数百万枚比特币,委员会未给出明确立场。 据悉,该委员会成员包括以太坊基金会研究员 Justin Drake 等多名头部专家,他们认为目前争议焦点并非如何引入抗量子签名技术,而是如何处理那些长期未迁移的比特币。一派观点呼吁设定最终期限,届时比特币现有的 ECDSA和 Schnorr 签名方案将停止支持,未迁移资产将被冻结,以避免未来量子攻击者获得大量 BTC 并冲击市场。另一派则认为,这相当于资产没收,违背比特币“不可篡改和用户完全控制资产”的核心理念,并可能为未来因监管压力冻结资产开创先例。 Coinbase 顾问委员会指出,上述方案并非互斥,可以组合采用,但拒绝在“是否冻结遗留 BTC”问题上表态,认为最终决定应由比特币社区治理,同时强调两点:第一,抗量子签名迁移的技术开发应立即启动,不应等待治理争论结束;第二,需要向用户明确传递风险信息,避免长期不确定性影响比特币生态。
Zcash Foundation 发布 Zebra 4.5.3 和 5.0.0 ,以修复 Orchard 零知识证明电路中的关键健全性漏洞。其中, 4.5.3 通过紧急软分叉临时禁用 Orchard 操作, 5.0.0 则激活 NU 6.2 ,使用修正后的电路重新启用 Orchard 并永久关闭漏洞。
Zcash 基金会宣布发布 Zebra 4.5.1 版本更新,用于修复一个共识级(consensus-critical)安全漏洞,并强烈建议所有节点运营者立即升级。该漏洞编号为 GHSA-2prc-cj5x-4443,涉及 P2SH 交易中的 sigop(签名操作数)统计错误,可能导致潜在共识分叉风险。此次修复纠正了此前 4.5.0 版本中修补不完整的问题,该版本刚于昨日发布。Zcash 开发团队表示,问题源于 sigop 计数逻辑在不同实现间存在偏差,可能导致节点在验证交易时产生不同结果,从而影响链上共识一致性。修复方案通过回退并调整 Rust 实现逻辑,确保与协议预期行为一致。Zcash 基金会强调,目前不存在绕过该问题的解决方案,升级至 4.5.1 是唯一确保节点保持在正确链上并避免潜在分叉风险的方法。
据 The Block 报道,Sui 基金会于 5月 31 日发布事故报告,披露其主网于 5月 29 日至 30 日连续发生三次宕机事件,根源均指向 v1.72 版本升级引入的两个独立漏洞。前两次宕机由"地址余额"新功能引发的 gas 费用计算错误所致,交易取消后资金仍被扣除,导致账户出现负余额并引发验证节点崩溃;第三次宕机则由节点重启时触发的随机数生成器潜在漏洞引起,导致网络 epoch 无法正常关闭。Sui 基金会表示,目前所有已知问题均已修复,用户资金全程未受影响,已结算交易亦未被回滚,并计划进一步优化容错机制,确保未来类似漏洞仅影响单笔交易而非导致全网停机。
Zcash 基金会发布节点客户端 Zebra 4.5.0 版本更新,本次版本包含多项安全修复,其中涉及一项共识关键漏洞及多项高危拒绝服务(DoS)问题,并强烈建议所有节点运营者立即升级。本次核心修复包括 P2SH 脚本解析中导致的 sigop 计数错误(可能引发与 zcashd 共识分叉)、NU5 区块验证缓存逻辑缺陷、透明地址余额溢出崩溃风险,以及多项 RPC 接口与内存池处理中的崩溃与资源耗尽漏洞。官方指出,部分漏洞可被恶意节点利用导致节点卡死、重启循环甚至永久停止运行。此外,该版本新增对 ZIP-213(支持屏蔽 coinbase 输出至 Sapling)的支持,并优化网络性能与安全边界,包括限制未握手阶段的资源分配、修复多线程队列滥用风险,以及增强 misbehavior 评分机制。Zcash 基金会表示,本次更新共修复来自 ZCG 漏洞披露计划(2026 年 4–5 月)中超过 80 份安全报告,涵盖共识安全、内存管理、RPC 处理及 P2P 网络攻击面等多个层级。官方强调,此次升级无替代方案,升级是确保节点不发生链分裂与安全风险的唯一方式。
Resolv Foundation 公布协议安全事件后的恢复方案。事前持有并被快照记录的 USR / wstUSR 将按 1 : 1 兑换 USDC,事后获得的 USR / wstUSR 按 1 : 0.5 兑换 USDC; RLP 持仓核心恢复为每 1 枚 兑付 0.71 USDC ,并参考 0.03 美元价格追加 RESOLV 代币分配。基金会称,符合条件用户可于 2026 年 5 月 26 日至 8 月 26 日申领恢复款。
Saturn 基金会官方于 X 发文表示,已将 Squid 黑客事件相关地址列入黑名单并冻结了被盗资金。受影响用户可在 Saturn 官方 Discord 服务器上提交工单。Saturn 的任何合约或基础设施均未受此次事件影响。
Compound 基金会在 X 平台发文表示,经与 Kelp 和 Aave 团队协调,为避免干扰更广泛的 DeFi 恢复工作,以太坊 WETH 和 wstETH 的 Comet 市场已恢复交易。其同时指出,根据 Kelp 解冻 rsETH 的具体时间,在与漏洞相关的头寸清算窗口期间,相关市场仍可能进行临时暂停,具体安排尚未确定。
Zcash 基金会官方宣布发布 Zebra 4.4.0 版本,此次更新修复了多项共识级关键安全漏洞并强烈建议所有节点运营者立即升级,包括可导致新区块永久停止发现的拒绝服务漏洞、区块签名操作(sigops)计数错误引发的共识分歧、透明交易签名哈希处理异常,以及内存分配放大攻击风险等。 Zcash 基金会表示,其中部分漏洞可能导致 Zebra 节点接受被 zcashd 拒绝的区块,从而引发链分叉,若不及时更新,节点可能面临区块发现中断、共识分叉及资源消耗放大等风险,且目前不存在替代性缓解方案。
Berachain 基金会在 X 平台发文警示,Wasabi Protocol 因部署者私钥泄露引发跨链安全事件,已波及包括 Berachain 在内的多条区块链。为防范风险扩散,Berachain 已暂停并拉黑网络内所有受影响的 Wasabi 奖励金库(Reward Vaults),立即停止向被攻破合约发放 BGT 质押奖励,阻断新 BGT 流入受损合约的路径。官方要求所有曾在 Berachain 与 Wasabi 交互的用户,必须立即撤销对指定合约的代币授权,避免资产被盗风险。Berachain 同时强调,原生 RewardVaults 内的 BGT 奖励资金安全无恙,用户可正常领取,本次事件不影响核心生态权益。
据 Aftermath Finance 官方披露,该协议预计将在未来 48 至 72 小时内完成对用户的全额赔付,目前团队正全力推进资金返还工作,并对用户的耐心等待表示感谢。此前消息,永续合约协议 Aftermath Finance 于昨日遭遇漏洞攻击,损失约 114 万美元资金。Sui 基金会联合 Mysten Labs 表示,将积极协助 Aftermath Finance 推进用户资金追回工作,并致力于保障 Aftermath 协议的持续运营。
据 Sui 官方披露,Aftermath Finance 部署于 Sui 网络的永续合约协议遭受漏洞攻击,相关协议已随即暂停运行。 Sui 基金会联合 Mysten Labs 表示,将积极协助 Aftermath Finance 推进用户资金追回工作,并致力于保障 Aftermath 协议的持续运营。Aftermath Finance 方面将于近期就资金追回进展作进一步说明。
据链上分析师余烬(@EmberCN)披露,4月 18日 rsETH 事件造成约 6.89 万枚 ETH(约 1.6 亿美元)资金缺口——黑客抵押 rsETH 借走 9.96 万枚 ETH,扣除 Arbitrum 追回的 3.07 万枚 ETH,剩余资金已全部被黑客兑换为 BTC。 目前事件进入善后阶段,Aave 协调成立"DeFi United"救助基金,已获多方累计捐款 1.35 万枚 ETH(约 3145 万美元),捐赠方包括 Lido Finance(2500枚 stETH)、ether.fi 基金会(5000枚 ETH)、Aave 创始人 Stani Kulechov(5000枚 ETH)、Golem Foundation(1000枚 ETH)及 LayerZero、Ink Foundation 等(金额未披露)。
据 Volo 官方公告,Sui 网络上的 BTCFi 与 LST 协议 Volo 今日发生安全漏洞事件,约 350 万美元资产(含 WBTC、XAUm 及 USDC)从三个特定 Vault 中被盗。事件发生后,团队已立即通知 Sui 基金会及生态合作伙伴,并冻结全部 Vault 以阻止损失扩大。Volo 表示,此次漏洞仅涉及三个 Vault,其余 Vault 不存在相同攻击向量,其他约 2800 万美元 TVL 资产安全无虞。官方强调将自行承担本次损失,不会将损失转嫁给用户,并将在调查完成后发布完整事后报告及补救方案。
Curve Finance 创始人 Michael Egorov(@newmichwill)发文指出,近期 DeFi 领域因中心化失败点引发的安全事故频发,严重损害行业形象。他以 Aave 用户因 rsETH 遭攻击、LayerZero 跨链桥被黑而无法提款为例,强调问题应在发生前预防,而非事后补救。 他呼吁行业共同制定 DeFi 安全标准,建议以太坊基金会与 Solana 基金会牵头,联合各生态项目、审计机构及风险评估团队,制定安全构建原则与规范,并可借鉴传统金融在保护中心化节点方面的经验。
以太坊基金会宣布其联合发起的 ETH Rangers 项目已完成为期 6 个月的运行,该项目旨在资助为以太坊生态提供公共安全贡献的独立研究者,17 名资助对象在漏洞研究、安全工具开发、威胁情报与事件响应等方面取得多项成果,包括:累计追回或冻结资金超 580 万美元、报告或记录 785+漏洞与客户端问题、识别约 100 名攻击人员、覆盖超 20.9 万用户的安全教育内容,以及处理 36+安全事件。 此外,该项目还推动了 800+团队参与安全挑战、产出 80+场技术分享与培训,并开发或改进 7 个以上开源安全工具,以太坊基金会表示相关成果表明去中心化网络需要“去中心化防御”并有效增强以太坊生态整体安全性与韧性。