同时关联该项目与事件的快讯
Humanity 发布 6 月 8 日至 9 日 H 代币安全事件复盘报告称,本次事件并非智能合约漏洞,而是开发人员设备遭恶意软件入侵导致私钥泄露所致。 Humanity 表示,攻击者目前仍掌握 ETH 桥及 BNB Chain 代币的 ProxyAdmin 权限。初步调查确认,一名同事的设备遭恶意软件感染,攻击者借此获得管理员热钱包私钥及 6 个 Gnosis Safe 签名私钥。团队已聘请外部安全机构开展取证调查,并表示正在制定受影响用户恢复计划。
Humanity 发布事件更新称其 H 代币于 6月 8 日晚在 Ethereum 和 BSC 上遭到协调攻击,目前两条链合计被盗并抛售约 3600 万美元。项目方披露,攻击源于一名员工笔记本电脑被入侵,导致控制 Hyperlane bridge ProxyAdmin 的 Gnosis Safe 多枚所有者密钥泄露。 攻击者在 Ethereum 侧通过夺取 ProxyAdmin 所有权并升级合约至恶意实现,一笔交易中转出约 1.412 亿枚 H;在 BSC 侧同样控制 ProxyAdmin 后,部署带无限增发功能的恶意实现,分两笔增发 2 亿枚 H 并持续抛售。Humanity 已暂停相关跨链桥充值和提现,正与交易所及警方合作调查及寻求部分追回资金。
Humility Protocol 在 X 平台发布安全事件更新,其中指出昨日 H 代币在以太坊和 BSC 链上遭遇协同攻击,目前确认已有超过 3600 万美元资产被盗并遭抛售。初步调查显示,此次事件源于一名员工的电脑被攻破,导致控制 Hyperlane Bridge ProxyAdmin 的多重签名钱包密钥泄露。其中,攻击者获取以太坊链上 Gnosis Safe 6 个持有者中的 3 个私钥,将 ProxyAdmin 所有权转移至其控制的钱包,并将桥接合约升级为恶意实现,随后通过单笔交易转移约 1.412 亿枚 H 代币。与此同时,攻击者还控制了 BSC 链上 Safe 钱包 5 个持有者中的 3 个私钥,以相同方式接管 ProxyAdmin,并部署具备无限增发功能的恶意合约,分两次向自身钱包增发 2 亿枚 H 代币。Humility 表示,已暂停受影响桥接服务的所有存取款操作并正与交易所等相关合作方协作以减少损失,同时正配合警方展开调查,并尝试追回部分被盗资金。
Ledger 的 Donjon 安全研究团队在实验室中使用激光攻击绕过了 Trezor Safe 7 内部 TROPIC01 芯片的固件验证系统。芯片制造商 Tropic Square 随后发现了另一条影响该芯片 MAC-and-Destroy 安全机制的攻击路径。该漏洞影响目前领域内生产的所有 TROPIC01 芯片。Trezor 表示,TROPIC01 芯片是 Trezor Safe 7 内部三个独立安全层之一,用户资金、钱包备份和私钥并未存储在其中。芯片的硬件加密存储机制在初始测试中完全抵御了 Ledger 的提取尝试。Tropic Square 已推迟公布该漏洞的技术细节,直到 2026 年晚些时候推出 TROPIC01 的强化硅版本,完整细节预计于 2027 年春季公布。目前可通过禁用芯片的 MAINTENANCE 模式进行固件缓解。Trezor 首席执行官 Matej Zak 表示,PIN、钱包备份和用户资金密钥从未保存在单个芯片上。(The Block)
SUPERFORTUNE AI 发布 24 小时调查更新称, 5 月 27 日 GUA 安全事件并非此前怀疑的地址污染,而是多签签名者私钥遭泄露。攻击者随后伪造了指向恶意地址的有效签名,并利用与正确地址前 4 位和后 4 位相同的“靓号地址”特征误导其余签名者在 Safe 界面完成签署。
Squid在 X 平台发文表示,此次事件与 Squid 核心协议及合约无关,所有 Squid 用户及集成方均未受影响,无需采取任何行动。今日 Base 与 Ethereum 网络上一个第三方 Gnosis Safe 模块遭到攻击,损失约 320 万美元。该漏洞合约在 Basescan 上验证名称为"SquidRouterModule",但该合约并非由 Squid 构建、部署或运营,而是一个选择集成 Squid 及其他协议的第三方智能钱包产品,且与 Squid 无联系。攻击原理为该第三方模块接受调用者提供的常量字符串作为消息安全证明,该字符串在已验证合约代码中公开可见,攻击者输入后即可执行任意 calldata 数组,随意窃取资金。受害者的 Safe 钱包将该问题合约添加为受信任 Safe Module,使该合约无需签名即可支配 Safe 内任意代币。Squid 自有路由合约 (0xce16...D666) 架构不同,未受影响,Squid 用户资金、授权及集成均完全安全。早期公开报道或因 Basescan 上的合约验证名称提及"SquidRouter",准确表述应为:第三方 SquidRouterModule 遭攻击,而非 Squid 的 Router 合约。该合约名称与 Squid 相同,但非 Squid 代码。Squid 正持续监控事态,如有重大变化将更新信息。
伊朗推出国家支持的数字海上保险平台 Hormuz Safe,为通过波斯湾和霍尔木兹海峡的船舶提供海上保险,并以比特币和其他加密货币结算。伊朗政府认为,若该平台占据波斯湾航运保险市场的可观份额,可能产生超 100 亿美元收入。Hormuz Safe 旨在绕过 SWIFT 网络和西方中介机构,减少对传统金融基础设施的依赖。该平台面临国际认可问题,船东、贸易公司或港口管理机构若与该平台互动,可能触发二级制裁风险。(Cryptobriefing)
据官方消息,Consensys 于 5 月 11 日向美国证券交易委员会 SEC 提交评论信称,SEC 最新加密资产解释性框架可能留下监管空白,使 MetaMask 等自托管钱包提供商面临合规不确定性。Consensys 请求 SEC 通过定向安全港或其他豁免措施,明确自托管、用户主导型接口若仅支持可能附着投资合同的非证券加密资产交易,无需因此注册为经纪交易商。Consensys 表示,此举旨在保障美国用户继续使用开放、中立的点对点区块链工具。
据路透社报道,希腊海事风险管理公司 MARISKS 警告称,部分滞留在霍尔木兹海峡以西的航运公司收到冒充伊朗当局的信息,要求以 比特币 或 泰达币( USDT )支付“通行许可费”,相关信息为诈骗,非伊朗官方发布。 MARISKS 表示,诈骗信息称需先提交文件并经“伊朗安全部门”评估后,再确定加密货币费用。当前约有数百艘船舶、约 2 万名海员滞留海湾。4 月 18 日伊朗短暂开放海峡期间,至少 2 艘船舶(含 1 艘油轮)遭伊朗船只开火后被迫返航。
据 The Block 报道,StarkWare 研究员 Avihu Levy 发布论文提出 Quantum Safe Bitcoin(QSB)方案,称可在现有比特币脚本规则下实现抗量子计算交易,无需软分叉。该方案通过“哈希到签名”谜题,利用 RIPEMD-160 哈希算法,替代椭圆曲线加密,提升对量子攻击的防御能力。 论文指出,现阶段 QSB 方案单笔交易成本约为 75 至 150 美元,远高于当前平均交易费用,且用户体验复杂,建议仅作为“最后手段”采用。该方案仍受限于脚本操作码和大小,暂不支持闪电网络等全部应用场景。与需协议变更的 BIP-360 方案相比,QSB 无需比特币协议层修改,但仍处于实验阶段。