同时关联该项目与事件的快讯
Humanity 发布 6 月 8 日至 9 日 H 代币安全事件复盘报告称,本次事件并非智能合约漏洞,而是开发人员设备遭恶意软件入侵导致私钥泄露所致。 Humanity 表示,攻击者目前仍掌握 ETH 桥及 BNB Chain 代币的 ProxyAdmin 权限。初步调查确认,一名同事的设备遭恶意软件感染,攻击者借此获得管理员热钱包私钥及 6 个 Gnosis Safe 签名私钥。团队已聘请外部安全机构开展取证调查,并表示正在制定受影响用户恢复计划。
Humanity 发布事件更新称其 H 代币于 6月 8 日晚在 Ethereum 和 BSC 上遭到协调攻击,目前两条链合计被盗并抛售约 3600 万美元。项目方披露,攻击源于一名员工笔记本电脑被入侵,导致控制 Hyperlane bridge ProxyAdmin 的 Gnosis Safe 多枚所有者密钥泄露。 攻击者在 Ethereum 侧通过夺取 ProxyAdmin 所有权并升级合约至恶意实现,一笔交易中转出约 1.412 亿枚 H;在 BSC 侧同样控制 ProxyAdmin 后,部署带无限增发功能的恶意实现,分两笔增发 2 亿枚 H 并持续抛售。Humanity 已暂停相关跨链桥充值和提现,正与交易所及警方合作调查及寻求部分追回资金。
Humility Protocol 在 X 平台发布安全事件更新,其中指出昨日 H 代币在以太坊和 BSC 链上遭遇协同攻击,目前确认已有超过 3600 万美元资产被盗并遭抛售。初步调查显示,此次事件源于一名员工的电脑被攻破,导致控制 Hyperlane Bridge ProxyAdmin 的多重签名钱包密钥泄露。其中,攻击者获取以太坊链上 Gnosis Safe 6 个持有者中的 3 个私钥,将 ProxyAdmin 所有权转移至其控制的钱包,并将桥接合约升级为恶意实现,随后通过单笔交易转移约 1.412 亿枚 H 代币。与此同时,攻击者还控制了 BSC 链上 Safe 钱包 5 个持有者中的 3 个私钥,以相同方式接管 ProxyAdmin,并部署具备无限增发功能的恶意合约,分两次向自身钱包增发 2 亿枚 H 代币。Humility 表示,已暂停受影响桥接服务的所有存取款操作并正与交易所等相关合作方协作以减少损失,同时正配合警方展开调查,并尝试追回部分被盗资金。
Ledger 的 Donjon 安全研究团队在实验室中使用激光攻击绕过了 Trezor Safe 7 内部 TROPIC01 芯片的固件验证系统。芯片制造商 Tropic Square 随后发现了另一条影响该芯片 MAC-and-Destroy 安全机制的攻击路径。该漏洞影响目前领域内生产的所有 TROPIC01 芯片。Trezor 表示,TROPIC01 芯片是 Trezor Safe 7 内部三个独立安全层之一,用户资金、钱包备份和私钥并未存储在其中。芯片的硬件加密存储机制在初始测试中完全抵御了 Ledger 的提取尝试。Tropic Square 已推迟公布该漏洞的技术细节,直到 2026 年晚些时候推出 TROPIC01 的强化硅版本,完整细节预计于 2027 年春季公布。目前可通过禁用芯片的 MAINTENANCE 模式进行固件缓解。Trezor 首席执行官 Matej Zak 表示,PIN、钱包备份和用户资金密钥从未保存在单个芯片上。(The Block)
据 The Block 报道,Gnosis 联合创始人兼 CEO Martin Koppelmann 表示,Gnosis Pay 因 Zodiac delay module(延迟模块)出现漏洞攻击,攻击者可从带有该模块的 Safe 钱包发起交易,Gnosis 将承担所有用户损失。Gnosis 目前正请求桥验证者暂停相关操作,以遏制影响扩大。
SUPERFORTUNE AI 发布 24 小时调查更新称, 5 月 27 日 GUA 安全事件并非此前怀疑的地址污染,而是多签签名者私钥遭泄露。攻击者随后伪造了指向恶意地址的有效签名,并利用与正确地址前 4 位和后 4 位相同的“靓号地址”特征误导其余签名者在 Safe 界面完成签署。
慢雾创始人余弦在 X 平台发文解读 Squid 安全事件,他表示抽样发现相关 Safe 钱包都是单签,owner 也都不一样,但问题不在私钥,问题在这些 Safe 地址用到的如图模块(SquidRouterModule)存在漏洞,攻击者可以伪造消息,轻易绕过相关验证,发起后续的兑换操作,将目标 Safe 钱包里的资金转移走,此外余弦还公布了攻击者获利沉淀地址信息。此前消息,某第三方 Gnosis Safe 模块在 Base 和以太坊上被利用,造成约 320 万美元损失,受害者为将该合约添加为受信任 Safe Module 的86个 Gnosis Safe。该合约在 Basescan 上名为 “SquidRouterModule”,随后 Squid 澄清未受 Gnosis Safe 相关漏洞事件影响。
Squid在 X 平台发文表示,此次事件与 Squid 核心协议及合约无关,所有 Squid 用户及集成方均未受影响,无需采取任何行动。今日 Base 与 Ethereum 网络上一个第三方 Gnosis Safe 模块遭到攻击,损失约 320 万美元。该漏洞合约在 Basescan 上验证名称为"SquidRouterModule",但该合约并非由 Squid 构建、部署或运营,而是一个选择集成 Squid 及其他协议的第三方智能钱包产品,且与 Squid 无联系。攻击原理为该第三方模块接受调用者提供的常量字符串作为消息安全证明,该字符串在已验证合约代码中公开可见,攻击者输入后即可执行任意 calldata 数组,随意窃取资金。受害者的 Safe 钱包将该问题合约添加为受信任 Safe Module,使该合约无需签名即可支配 Safe 内任意代币。Squid 自有路由合约 (0xce16...D666) 架构不同,未受影响,Squid 用户资金、授权及集成均完全安全。早期公开报道或因 Basescan 上的合约验证名称提及"SquidRouter",准确表述应为:第三方 SquidRouterModule 遭攻击,而非 Squid 的 Router 合约。该合约名称与 Squid 相同,但非 Squid 代码。Squid 正持续监控事态,如有重大变化将更新信息。
据 Blockaid 监测,其检测到针对以太坊与 Base 链上 SquidRouter 模块的持续攻击。约 2 小时内,86 个 Gnosis Safe 钱包被盗取约 300 万美元资产,所有被盗代币均通过攻击者控制的 Uniswap V3 池兑换为 DAI。
据 The Block 报道,StarkWare 研究员 Avihu Levy 发布论文提出 Quantum Safe Bitcoin(QSB)方案,称可在现有比特币脚本规则下实现抗量子计算交易,无需软分叉。该方案通过“哈希到签名”谜题,利用 RIPEMD-160 哈希算法,替代椭圆曲线加密,提升对量子攻击的防御能力。 论文指出,现阶段 QSB 方案单笔交易成本约为 75 至 150 美元,远高于当前平均交易费用,且用户体验复杂,建议仅作为“最后手段”采用。该方案仍受限于脚本操作码和大小,暂不支持闪电网络等全部应用场景。与需协议变更的 BIP-360 方案相比,QSB 无需比特币协议层修改,但仍处于实验阶段。