同时关联该项目与事件的快讯
与 Humanity Protocol 关联或交互过的钱包正在被入侵,目前已有超过 17 个持有 H 代币的钱包被盗,总损失超过 1900 万美元。被盗原因尚不清楚,攻击模式显示受影响钱包可能存在与 Humanity Protocol 相关的共同风险敞口。
据官方公告,6 月 3 日,Trust Wallet 宣布联合 BNB Chain、CoinMarketCap 正式启动 "BNB Hack: AI Trading Agents "黑客松,总奖池达 3.6 万美元,Trust Wallet Agent Kit 为本次赛事的链上执行核心技术栈。本次黑客松也是 Trust Wallet Agent Kit 首次以核心基础设施角色,全面融入顶级 AI Agent 黑客松赛事体系。本次黑客松设两大赛道: "自主交易 Agent "(奖池 $24,000,设 5 名获奖)与「策略技能 Strategy Skills」(奖池 $6,000,设 3 名获奖),另设三项合作伙伴专项奖各 $2,000。在「自主交易 Agent」赛道,参赛者须借助 Trust Wallet Agent Kit 实现本地自托管签名、自主模式运行及链上交易执行,在 PancakeSwap、BSC 永续合约等 BNB Chain 原生场景中落地;「策略技能」赛道无需执行层,参赛者基于 CoinMarketCap MCP 的行情、技术指标、链上数据、情绪与新闻等 12 类数据工具,构建可回测的策略方案。赛道一以实盘 PnL 为核心评判依据,设最大回撤上限作为风控门槛;赛道二由评审团从技术执行、原创性、现实价值与演示呈现四个维度综合评分。Build 窗口为 6 月 3 日至 6 月 21 日,交易窗口为 6 月 22 日至 28 日,获奖结果将于 7 月 6 日当周公布。获奖团队除现金奖励外,还将获得 CoinMarketCap Pro API 订阅积分、CMC Labs 导师辅导及 BNB Chain Kickstart 生态支持包。
慢雾创始人余弦在 X 平台发文解读 Squid 安全事件,他表示抽样发现相关 Safe 钱包都是单签,owner 也都不一样,但问题不在私钥,问题在这些 Safe 地址用到的如图模块(SquidRouterModule)存在漏洞,攻击者可以伪造消息,轻易绕过相关验证,发起后续的兑换操作,将目标 Safe 钱包里的资金转移走,此外余弦还公布了攻击者获利沉淀地址信息。此前消息,某第三方 Gnosis Safe 模块在 Base 和以太坊上被利用,造成约 320 万美元损失,受害者为将该合约添加为受信任 Safe Module 的86个 Gnosis Safe。该合约在 Basescan 上名为 “SquidRouterModule”,随后 Squid 澄清未受 Gnosis Safe 相关漏洞事件影响。
Polymarket 工作人员 Shantikiran Chanal 在 X 平台发文表示,其已关注到与奖励发放相关的安全报告,用户资金与市场结算处于安全状态。调查结果指向一个用于内部运营的钱包发生私钥泄露,并非合约或核心基础设施问题。后续将发布更多更新。此前消息:ZachXBT 称 Polymarket UMA CTF Adapter 合约疑似在 Polygon 上遭到攻击,目前已流出超 52 万美元。
据区块链安全机构 SlowMist(@SlowMist_Team)旗下威胁监控系统 MistEye 监测,一款名为"Mini Shai-Hulud"的高度复杂 npm 蠕虫正通过 TanStack、UiPath、DraftLab 等知名开发者项目传播。攻击者劫持 GitHub 凭证,发布伪装成合法更新的恶意软件包,并在其中植入隐藏脚本 router_init.js,在 GitHub Actions 等 CI/CD 环境中静默运行,专门窃取 CI/CD 密钥、云基础设施密钥及加密货币钱包信息,并借助 GitHub 自身基础设施进行数据外传。 SlowMist 已向客户同步相关威胁情报(IOC),建议使用受影响软件包的项目立即排查 CI/CD 管道中是否存在 router_init.js 文件,轮换所有已暴露的 GitHub、云服务及加密货币凭证,并持续监控开发环境中的异常后台活动。
交易员 A(@missoralways)发文表示,其曾长期在 Sigma 中存放七位数资产,过去并未出现安全问题,但近期两个钱包均遭遇资金被盗,且均发生在钱包余额低于 1 万美元时。其还称,另一名朋友今日也遭遇约 20 万美元资产被盗,并提及 Sigma 相关情况。目前 Sigma 团队已介入调查。该交易员表示,其发布相关信息是出于安全提醒目的,并强调自己并非任何机器人产品的关联推广方。
据 SlowMist 披露,其安全监测系统 MistEye 发现一款假冒 TronLink 的 Chrome MV3 扩展,针对 TRON 钱包用户发起双层钓鱼攻击。该扩展通过 Unicode 混淆与品牌仿冒伪装为官方插件,安装后优先加载远程 iframe 弹窗页面,诱导用户输入助记词、私钥、密钥库文件及密码,并通过同源接口与 Telegram Bot 外传。涉事恶意基础设施包括 tronfind-api[.]tronfindexplorer[.]com 和 trx-scan-explorer[.]org,恶意扩展 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展,如已提交敏感信息,应尽快迁移资产并弃用原钱包。
“链上侦探”ZachXBT 在 X 平台发文表示,PolyArb 是一个虚假的预测市场产品,其网站存在钱包盗取器。此外,该产品账号在多个知名预测市场推文下进行争议性回复,博取流量,以吸引用户参与。
据 GlobeNewswire 报道,交易与投资平台 eToro 宣布已签署协议,收购领先自托管加密钱包提供商 Zengo。此次收购旨在深化 eToro 的数字资产能力,加速其连接传统金融与链上基础设施的战略布局。Zengo 成立于 2018 年,基于多方计算(MPC)加密技术构建无密钥钱包架构,目前拥有逾 200 万用户,覆盖 180 余个国家和地区,且自成立以来从未发生过钱包被盗事件。收购完成后,eToro 将借助 Zengo 的技术能力,进一步支持代币化资产、预测市场及永续合约等去中心化交易场景。交易尚待常规成交条件满足后正式完成。
据 CoinDesk 报道,来自加州大学圣巴巴拉分校、加州大学圣地亚哥分校、区块链安全公司 Fuzzland及 World Liberty Financial 的研究人员联合发布论文,警告称"LLM 路由器"——即位于用户与 AI 模型之间的中间服务——已成为加密资产安全的重大隐患。研究人员发现,26个 LLM 路由器正在秘密注入恶意工具调用并窃取用户凭证,其中一起事件导致客户价值 50 万美元的加密钱包被清空。 此外,研究人员通过"污染"路由器生态系统,在数小时内即可控制约 400 台下游主机。由于私钥、API 凭证等敏感数据往往以明文形式经由这些路由器传输,用户实际上在毫不知情的情况下将资产暴露于风险之中。 研究人员指出,随着麦肯锡预测 AI 代理到 2030 年将中介 3 万亿至 5 万亿美元的全球消费商业,币安创始人赵长鹏亦预测 AI 代理的支付量将是人类的百万倍,当前基础设施安全性严重滞后于行业发展速度,"最弱环节"风险或将引发系统性连锁危机。
据 The Block 报道,美国音乐家 Garrett Dutton(艺名 G. Love)因在 App Store 下载并使用冒充 Ledger 钱包的应用,输入助记词后被盗 5.9 枚 BTC,损失金额约为 42 万美元。链上分析师 ZachXBT 发现,攻击者已将被盗比特币通过 KuCoin 平台进行洗钱。 此次事件再次暴露假冒钱包应用的安全风险,提醒用户在下载和使用加密货币相关应用时需提高警惕,避免在非官方渠道输入私密信息。