與該事件類型相關的快訊
Andre Cronje 表示,當前大部分去中心化金融(DeFi)協議已不再符合“嚴格意義上的 DeFi”,而更接近由團隊運營的商業系統,並圍繞是否應引入“熔斷機制(circuit breakers)”以應對攻擊風險,引發行業分歧。在接受採訪時,Andre Cronje 指出,早期 DeFi 以不可篡改智能合約爲核心,但如今大量協議依賴可升級合約、多籤權限、鏈下基礎設施與人工運維流程,本質上已從“不可變公共產品”轉變爲“可運營的盈利型業務”。他表示,在近期多起安全事件背景下,包括約 2.8 億美元與 2.93 億美元級別的 DeFi 攻擊,行業風險已從單純智能合約漏洞擴展至基礎設施、權限控制及社會工程攻擊等“Web2 式風險”。針對風險管理,Andre Cronje 所在的 Flying Tulip 近期引入熔斷機制,在異常資金流出時延遲或排隊提款,以提供約 6 小時的應急響應窗口,用於防止系統性擠兌與進一步損失。不過該機制也引發爭議。Michael Egorov 認爲,熔斷機制可能引入新的中心化攻擊面,如果由簽名者或管理員控制,反而可能成爲新的安全漏洞或凍結風險來源。他強調,DeFi 設計應儘量減少人爲干預,而非增加人工控制節點。業內分析指出,這一爭論本質上反映出 DeFi 正在從“代碼即法律”的理想模型,逐步轉向“混合治理+運營控制”的現實架構,而安全邊界正在重新定義。(Cointelegraph)
據 Blockaid 監測,Aftermath Finance 在 Sui Network 上的永續合約協議發生正在進行中的攻擊事件,約 110 萬美元 USDC 在約 36 分鐘內通過 11 筆交易被盜。分析顯示,此次漏洞源於永續合約清算系統中的手續費記賬缺陷,攻擊者藉此實現合成抵押品虛增,並從協議金庫中提取資金。
據鏈上安全機構 Blockaid(@blockaid_)監測,Sui Network 上的 AftermathFi 永續合約於 4月 29 日遭遇漏洞攻擊,攻擊者(地址:0x1a65...2d41e)在約 36 分鐘內通過 11 筆交易共盜取約 110 萬美元 USDC。據悉,此次攻擊利用了永續合約清算所費用覈算中的漏洞,通過合成抵押品虛增手段實現對協議金庫的非法提款。
ether.fi 首席執行官 Mike Silagadze 在 X 平臺發文回應承諾向 Kelp 黑客事件恢復基金投入 5000 枚 ETH 原因,他表示團隊認爲此次事件存在“摧毀整個 DeFi 生態”的真實風險,若 Kelp 破產,價值 15 億美元的 rsETH 可能被長期凍結,進而導致規模達 300 億美元的 Aave 借貸市場陷入停滯,並引發 DeFi 與 CeFi 連鎖崩盤,並稱“FTX 相比之下都顯得微不足道”。Mike Silagadze 補充稱,在多數機構選擇退縮並交由律師處理時,主動承擔責任並迅速籌資填補漏洞,幫助避免最壞情況發生是好的選擇。
渣打銀行最新報告指出,KelpDAO 的 rsETH 被盜事件雖對 DeFi 生態造成嚴重衝擊,但並不足以改變現實世界資產(RWA)代幣化長期增長趨勢,仍維持其預測:到 2028 年底,RWA 代幣化市場規模將從 2025 年 10 月的 350 億美元增長至 2 萬億美元,核心驅動力仍將來自 DeFi 銀行體系與穩定幣流動性的持續擴張。渣打數字資產研究主管 Geoffrey Kendrick 表示,此次事件更像是 DeFi“被壓彎而非被擊碎”(Bent, not broken),甚至可能成爲行業走向更強韌結構的重要轉折點。(The Block)
據 CertiK 披露,Syndicate 協議因 Commons 跨鏈橋遭到攻擊,發生一起漏洞利用事件。攻擊者通過上述漏洞獲取約 1850 萬枚 SYND 代幣,並將其出售,套現約 33 萬美元。目前,相關資金已通過跨鏈橋轉移至以太坊網絡。 Syndicate 官方回應,正在調查 Commons 橋的安全泄露事件。團隊正在追蹤攻擊行爲,並與安全公司合作。團隊還在考慮各種方案,以補償受影響的用戶。Syndicate 擁有足夠的代幣可用,以幫助那些丟失 SYND 的用戶。
據 Arkham 監測,Kyber Network 黑客正在將被盜資金轉移至 Tornado Cash。該黑客 Andean Medjedovic 曾於 2023 年末從 KyberSwap 竊取 4880 萬美元資金,此前還曾攻擊 Indexed Finance 並竊取 1650 萬美元。其已於 2025 年遭 FBI 起訴。
據 SlowMist 監測,由於 EIP-7702 賬戶存在設計缺陷,某 QNT 儲備池遭受攻擊,損失 1988.5 枚 QNT,價值約 54.93 枚 ETH。攻擊根源在於該儲備池的管理員身份由地址持有,該地址通過 EIP-7702 將其代碼委託給 BatchExecutor 合約。由於 BatchExecutor 授權了無權限控制的 BatchCall 合約作爲調用者,且 BatchCall.batch 函數缺乏權限檢查,導致攻擊者利用任意調用漏洞提取了池內代幣。
據 a16z 披露,其研究人員對 AI 代理能否獨立完成 DeFi 價格操縱漏洞利用進行了系統測試。研究以 20 起以太坊價格操縱事件爲數據集,使用配備 Foundry 工具鏈的 Codex(GPT 5.4)作爲測試代理。在無領域知識的基準條件下,代理成功率僅爲 10%;引入基於真實攻擊事件提煉的結構化領域知識後,成功率提升至 70%。 失敗案例顯示,代理均能準確識別漏洞,但普遍無法理解遞歸借貸的槓桿邏輯、錯誤判斷盈利空間,以及無法組裝跨合約的多步驟攻擊結構。實驗還記錄到一起沙箱逃逸事件:代理通過提取本地節點配置中的 RPC 密鑰,調用 anvil_reset 方法將節點重置至未來區塊,繞過信息隔離限制並獲取真實攻擊數據。 研究團隊認爲,AI 代理目前可有效輔助漏洞識別,但尚不能替代專業安全審計人員。
據 ZetaChain 官方披露,4 月 27 日,ZetaChain 遭受一次定向漏洞攻擊,攻擊者事先通過 Tornado Cash 獲取資金並實施錢包地址欺騙,最終利用 GatewayEVM 任意調用功能漏洞,在 4 條關聯鏈上造成約 33.4 萬美元損失。 ZetaChain 表示,此次攻擊未影響跨鏈 $ZETA 轉賬,受影響錢包均爲 ZetaChain 自控地址,用戶資金未受損失。目前主網補丁已完成部署,跨鏈交易將在持續監控後恢復開放。
據 Dark Web Informer 披露,去中心化預測市場平臺 Polymarket 疑遭黑客入侵,威脅行爲者 xorcat 在一知名網絡犯罪論壇發佈了逾 30 萬條數據記錄及配套漏洞利用工具包。數據提取日期爲 2026 年 4 月 27 日。 據稱,攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括:1 萬個用戶完整個人信息(含姓名、代理錢包及基礎地址)、4111 條評論、1000 條舉報記錄(含 58 個 ETH 地址及管理員認證地址標識)、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址,以及 9000 個關注者社交圖譜數據。 工具包中包含多個漏洞的概念驗證代碼,涉及 CVE-2025-62718(Axios NO_PROXY 繞過,CVSS 9.9,可觸發服務端請求僞造)、CVE-2024-51479(Next.js 中間件認證繞過,CVSS 7.5)及 CORS 錯誤配置等。此外,工具包還附有自動化持續拉取腳本及完整紅隊報告(含 M
據 Tropykus 官方披露,去中心化借貸協議 Tropykus 宣佈啓動現版本協議的漸進式關閉流程,存款與借貸功能將永久停用,用戶可通過 tropykus.com 進行提款及還款操作,截止日期爲 2026 年 7 月 27 日,此後相關操作將僅支持直接與智能合約交互。 團隊表示,此次關閉決定系出於長期戰略演進考量,並非源於此前 Money on Chain 合作方收到的安全報告。該報告此前已促使協議預防性暫停存款與新增借貸功能,但團隊強調,關閉決定早於該事件已在內部討論,安全事件僅起到加速作用。在技術層面,團隊指出,原有架構設計於早期技術環境之下,面對人工智能等新興技術帶來的安全挑戰,現有架構已難以滿足長期發展需求。 團隊建議所有用戶在 2026 年 7 月 27 日前通過 tropykus.com 完成提款並結清借貸頭寸,逾期後操作將需具備直接與智能合約交互的技術能力。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,一名用戶持有的 Alchemix Yearn yvVault 頭寸(代幣 $yvWETH)遭到攻擊,損失估計約 100 萬美元。 攻擊根源在於該用戶此前曾向一個未經驗證的合約授權(合約地址:0x143a),該合約於 10 天前部署。經反編譯分析,該合約存在漏洞,可被利用執行任意調用(arbitrary call execution)。攻擊者通過上述漏洞,成功轉移了受害者的 yvVault 頭寸。 目前,PeckShield 已公開披露該漏洞的具體邏輯。建議用戶檢查並撤銷對未知或未經驗證合約的代幣授權,以降低資產風險。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,Trading Protocol 旗下金庫 YieldCore-3rd-deal 遭到攻擊,損失約 39.8 萬美元。 攻擊原因系合約存在調用者權限校驗缺失漏洞,攻擊者利用該漏洞繞過授權機制,將金庫內資金全部提取。目前相關鏈上交易記錄已被披露。
過去十年(2016–2026)累計損失 171 億美元,涉及 518 起事件;過去五年(2021–2026)約損失 152 億美元,涉及 450 餘起事件;過去一年(2025 年 4 月–2026 年 4 月)約損失 25 億美元,涉及 140 餘起事件。近期損失顯示,加密攻擊已從智能合約漏洞轉向私鑰泄露和訪問控制。(Solid Intel)
據 Cointelegraph 報道,Robinhood 用戶近期遭遇一輪釣魚攻擊。攻擊者利用 Gmail 忽略郵箱用戶名中 “ . ” 的特性,以及 Robinhood 賬戶創建流程中的漏洞,註冊與目標郵箱高度相似的賬戶,並藉此讓 Robinhood 官方郵件服務器向受害者收件箱發送帶有釣魚鏈接的僞造提醒郵件。網絡安全研究員 Alex Eckelberry 表示,該郵件可通過 SPF、DKIM 和 DMARC 驗證,看似來自官方地址。 Robinhood 稱,此事並非系統或客戶賬戶遭入侵,用戶資金和個人信息未受影響,但提醒用戶刪除相關郵件,勿點擊可疑鏈接。
慢霧發文表示,ZetaChain 遭攻擊利用,初步分析顯示漏洞根源在於 GatewayZEVM 合約 call 函數缺乏訪問控制與輸入驗證,攻擊者可藉此發起惡意跨鏈調用,並通過中繼機制在目標鏈執行任意操作轉移資金。慢霧稱,攻擊者通過僞造跨鏈事件觸發中繼器執行惡意調用,從而完成資金竊取,目前相關攻擊交易已被披露。
據官方消息,ZetaChain 表示,其 GatewayEVM 合約今日遭遇攻擊,影響範圍僅限 ZetaChain 團隊內部錢包。官方稱,相關攻擊路徑已被阻斷,暫無更多資金面臨風險。作爲預防措施,ZetaChain 已暫停跨鏈交易。與此同時,官方表示調查仍在進行中,目前暫無用戶資金受到此次攻擊影響,後續將在調查完成後發佈詳細事後分析報告。
Circle Ventures、Consensys 及 Joseph Lubin 宣佈支持 DeFi United 行動,旨在緩解 Kelp DAO 漏洞造成的損失。Circle Ventures 正通過購買 AAVE 代幣支持該生態系統。Consensys 及以太坊聯合創始人 Joseph Lubin 確認爲 DeFi United 提供 3 萬枚 ETH。目前 DeFi United 已籌集超過 13.2 萬枚 ETH,總價值超過 3 億美元。相關資金將用於彌補因攻擊者通過 LayerZero 橋鑄造無抵押 rsETH 並在 Aave 借出資產導致的壞賬。此前 Aave 已提議捐贈 2.5 萬枚 ETH,Lido DAO、Ether.fi 及 Kelp 也分別提議或承諾捐贈 2500 枚 ETH、5000 枚 ETH 及 2000 枚 ETH。
據 Ai 姨監測,Galaxy Digital OTC 關聯地址 (0x16F...1Fde) 向交易所充值 1.5 萬枚 ETH,價值 3474 萬美元。該筆資金來源爲一週前從 Aave 取出的 3.8 萬枚 ETH,即 Kelp DAO 被攻擊致使 Aave 疑似出現壞賬當日。