同时关联该项目与事件的快讯
据链上安全平台 Blockaid(@blockaid_)监测,MILC Platform 跨链桥在 BNB 链及以太坊链上发生私钥泄露事件。攻击者利用历史桥接管理员钱包,向攻击者地址授予 DEFAULT_ADMIN_ROLE 及 MANAGER_ROLE 权限,随后从桥接合约中提取资产,并将管理控制权转移至攻击者钱包。目前已确认损失约 97,003 枚 USDT(BNB 链)及约 39.21 枚 ETH(以太坊链,经 Rhino.fi 转出),合计损失约 16.1 万美元。
针对“Humanity 被盗事件”,链上侦探 ZachXBT 最新发文表示,这起“事件”很可能是人为策划的。其根本不相信该团队的对应说法,这不过是那些心怀不轨的人为了脱身而编造的借口罢了。此前消息,ZachXBT 称 Humanity 被盗暂未确定为安全攻击或项目方恶意抛售,H 代币砸盘来自 DEX 而非 CEX。
Zcash 基金会发布节点客户端 Zebra 4.5.0 版本更新,本次版本包含多项安全修复,其中涉及一项共识关键漏洞及多项高危拒绝服务(DoS)问题,并强烈建议所有节点运营者立即升级。本次核心修复包括 P2SH 脚本解析中导致的 sigop 计数错误(可能引发与 zcashd 共识分叉)、NU5 区块验证缓存逻辑缺陷、透明地址余额溢出崩溃风险,以及多项 RPC 接口与内存池处理中的崩溃与资源耗尽漏洞。官方指出,部分漏洞可被恶意节点利用导致节点卡死、重启循环甚至永久停止运行。此外,该版本新增对 ZIP-213(支持屏蔽 coinbase 输出至 Sapling)的支持,并优化网络性能与安全边界,包括限制未握手阶段的资源分配、修复多线程队列滥用风险,以及增强 misbehavior 评分机制。Zcash 基金会表示,本次更新共修复来自 ZCG 漏洞披露计划(2026 年 4–5 月)中超过 80 份安全报告,涵盖共识安全、内存管理、RPC 处理及 P2P 网络攻击面等多个层级。官方强调,此次升级无替代方案,升级是确保节点不发生链分裂与安全风险的唯一方式。
SUPERFORTUNE AI 发布 24 小时调查更新称, 5 月 27 日 GUA 安全事件并非此前怀疑的地址污染,而是多签签名者私钥遭泄露。攻击者随后伪造了指向恶意地址的有效签名,并利用与正确地址前 4 位和后 4 位相同的“靓号地址”特征误导其余签名者在 Safe 界面完成签署。
Polymarket 工作人员 Shantikiran Chanal 在 X 平台发文表示,其已关注到与奖励发放相关的安全报告,用户资金与市场结算处于安全状态。调查结果指向一个用于内部运营的钱包发生私钥泄露,并非合约或核心基础设施问题。后续将发布更多更新。此前消息:ZachXBT 称 Polymarket UMA CTF Adapter 合约疑似在 Polygon 上遭到攻击,目前已流出超 52 万美元。
Kelp在X平台发文表示,已与多家DeFi协议协同完成对攻击者头寸的清算工作,rsETH恢复进程取得关键进展,其中:Compound在过去四周多次参与协调并提供约3000枚ETH支持,同时联合Aave完成清算,合计恢复约17,426.20枚rsETH;Euler Finance则在其协议内清算攻击者仓位,并计划将多余ETH返还至DeFi生态基金。
Vitalik 发布文章《 A shallow dive into formal verification 》,介绍形式化验证在以太坊前沿研发中的应用进展。文章指出,开发者可使用 Lean、EVM 字节码或汇编语言编写代码,并通过可自动检查的数学证明验证其正确性,以同时提升代码效率与安全性。他表示,形式化验证特别适用于 STARK、拜占庭容错共识、ZK-EVM、抗量子签名等复杂但安全目标相对清晰的系统,并提及 Arklib、VCV-io、evm-asm 等相关项目。文章同时强调,形式化验证并非万能,仍可能受限于规格定义错误、未覆盖代码、硬件边界与侧信道攻击等问题。
隐私币项目 Monero 发布图形钱包软件 GUI 0.18.5.0 “Fluorine Fermi” 版本,本次更新为推荐升级版本,主要包含大量错误修复与功能优化,此次更新重点包括:Windows 系统下将 P2Pool 安装路径迁移至 LocalAppData修复 URI 解析中的边界情况问题禁止在长支付 ID 场景下创建离线交易在二维码扫描中对不受信任文本进行转义处理,提升安全性将 P2Pool 升级至 v4.15多项细节 bug 修复与稳定性改进Monero 官方指出,该版本已在 GitHub 开源发布,用户可通过官方渠道下载升级,以获得最新安全修复与稳定性改进。
当地时间10日,有知情人士指出伊朗回应美方的要点,其中包括要求美国财政部外国资产控制办公室在30天内撤销与伊朗石油销售的相关制裁。知情人士说,此前美国方面披露的伊朗回应在一些重要方面与事实不符,尤其是核问题相关内容。伊朗的回应强调必须通过政治谅解达成协议,立即结束战争、确保不再对伊朗发动攻击,且美国必须取消制裁。此外,伊朗的回应还涉及如果美国兑现某些承诺,伊朗对霍尔木兹海峡管控的变化。知情人士说,伊朗强调,在签署初步谅解协议后,美方须立即解除对伊海上封锁,且在30天内解除对伊石油销售的制裁。伊朗的回应还包括在双方达成初步谅解的基础上美方解冻伊朗资产,以及美方在30天内落实某些措施等。(央视新闻)
据 WSJ 报道,算法开发公司 MicroAlgo Inc. 宣布推出基于量子技术的区块链架构,通过整合循环量子安全信道(QSC)与量子密钥分发(QKD),以提升交易安全性与透明度。 该架构采用四层设计,包括量子通信层、区块链核心层、智能合约层和应用层。其中,QKD 用于实现密钥的高安全生成与分发,量子加密则保护交易数据免受窃取与篡改,同时具备抗量子计算攻击能力。
Syndicate Labs 披露其遭遇一次安全事件:攻击者通过私钥泄露入侵系统,并在两条链上对跨链桥合约进行恶意升级,导致约 1850 万枚 SYND 及约 5 万美元用户资产被转移,此次攻击源于开发端点被入侵,攻击者利用生产环境权限将桥接合约升级至恶意版本,但其他链未受影响,损失情况包括:Commons 桥:约 1850 万 SYND 被转移并出售,折合约 33 万美元;另一条 Appchain:约 5 万美元用户资产被转移。Syndicate Labs 表示,受影响的 SYND 持有人将获得全额补偿,并额外获得超额赔付,整体持仓将高于事件发生前水平;Appchain 受影响用户也将按损失全额赔付。
Berachain 基金会在 X 平台发文警示,Wasabi Protocol 因部署者私钥泄露引发跨链安全事件,已波及包括 Berachain 在内的多条区块链。为防范风险扩散,Berachain 已暂停并拉黑网络内所有受影响的 Wasabi 奖励金库(Reward Vaults),立即停止向被攻破合约发放 BGT 质押奖励,阻断新 BGT 流入受损合约的路径。官方要求所有曾在 Berachain 与 Wasabi 交互的用户,必须立即撤销对指定合约的代币授权,避免资产被盗风险。Berachain 同时强调,原生 RewardVaults 内的 BGT 奖励资金安全无恙,用户可正常领取,本次事件不影响核心生态权益。
QCP Group 发文分析,美伊谈判再度破裂,中东停火延续,地缘政治格局整体静态。白宫记者晚宴发生枪击事件,特朗普疑为目标,亚洲开盘后 BTC 一度突破 79,000 美元、ETH 突破 2,400 美元,但随后因伊朗外长赴俄与普京会谈的消息引发担忧,涨幅快速回落。 4 月以来 BTC 累计涨幅超 14%,连续四周收涨,现货 ETF 连续 9 日净流入合计约 21.1 亿美元,Strategy 单月增持 BTC 逾38 亿美元。当前市场关键阻力位为 82,000 美元附近的 CME 缺口,BTC 永续合约资金费率持续为负,若价格向上突破或触发空头回补。隐含波动率持续走低,风险逆转偏斜有所收窄,市场对上行敞口的兴趣逐步回升。 本周关注重点:4月 29 日微软、亚马逊、Meta、谷歌财报及 FOMC 利率决议;4月 30 日苹果财报、美国 Q1 GDP 及3月 PCE 数据。
SlowMist CISO 23pds(@im23pds)披露,密码管理工具 Bitwarden CLI 版本 2026.4.0 于 4 月 22 日美东时间 17:57 至 19:30 期间遭受 Checkmarx 供应链攻击,攻击者通过滥用 Bitwarden CI/CD 管道中的 GitHub Action,将恶意包短暂经由 npm 分发。官方确认 Vault 数据未泄露,生产系统未受影响,仅该时间窗口内通过 npm 安装该版本的用户受到波及。官方建议受影响用户立即卸载 2026.4.0、清理 npm 缓存、轮换 API Token 及 SSH Key 等敏感凭证、排查 GitHub 与 CI 异常活动,并升级至修复版本 2026.4.1。
Vercel 公布安全事件分析,称其部分内部系统遭未授权访问,起因是一名员工使用的第三方 AI 工具 Context.ai 被攻破,攻击者借此接管其 Google Workspace 账户并访问部分环境配置数据。初步影响为少量客户未标记为“敏感”的环境变量(如 API Key、Token 等)可能被泄露,已通知相关用户并建议立即轮换凭证。目前尚无证据显示被标记为“敏感”的数据或供应链(如 npm 包)遭到篡改。 Vercel 称攻击者具备较高技术水平,已联合 Mandiant 及多家安全机构展开调查,并已向执法部门报案。同时强调平台服务仍正常运行。同时建议用户启用多重认证、全面轮换潜在泄露的环境变量,并检查账户活动日志及部署记录,以防进一步风险。
据官方公告,针对近期 Vercel 平台安全事件,Jupiter(@JupiterExchange)表示未收到任何受影响的通知或迹象,其 jup.ag 前端亦不存储任何敏感信息。Jupiter 已主动落实 Vercel 推荐的全部安全措施,完成所有密钥轮换,并对系统日志进行全面审查,未发现任何可疑活动,目前持续监控中。
慢雾科技首席信息安全官 23pds 转推称,云托管平台 Vercel 内部系统遭未经授权访问一事,疑似与内部数据泄露有关。 相关推文表示,有人在 BreachForums 上自称为 ShinyHunters,以 200 万美元出售所谓 Vercel 内部数据库、访问密钥、源代码、员工账号、 API keys、 NPM tokens 及 GitHub tokens 等。相关数据疑似涉及 Vercel 内部 Linear 系统及内部用户管理系统。 此前消息,云托管平台 Vercel 披露内部系统遭未授权访问,少量客户受影响。