與該事件類型相關的快訊
據區塊鏈安全機構 CertiK(@CertiKAlert)監測,Wasabi Protocol(@wasabi_protocol)發生安全漏洞,目前已有約 290 萬美元資金被盜。初步調查顯示,攻擊者通過 Wasabi 部署錢包被入侵後獲得特權角色,進而實施攻擊。被盜資金目前分散存儲於以下地址:0xb8Bb...70dB(約 67.7 萬美元)及 0x6244...f906(約 110 萬美元),事件仍在持續調查中。
白宮近日對 Anthropic 提議將其 AI 模型 Mythos 擴展至約 120 家公司表示反對,主要基於安全和算力的考慮。Anthropic 原計劃在現有約 50 家企業的基礎上,新增 70 家公司使用 Mythos,但白宮對此提出質疑,擔心算力不足可能影響政府自身對 Mythos 的使用。Mythos 於 4 月初發布,旨在檢測並利用關鍵軟件漏洞,目前僅限於管理關鍵基礎設施的企業測試,尚無公開發布計劃。白宮擔心,若將使用範圍擴大至更多商業用戶,政府在使用該模型時將面臨算力瓶頸,特別是 Anthropic 與亞馬遜、谷歌和博通簽訂的算力採購協議,儘管已簽約,但新產能尚未上線。政治方面,白宮與 Anthropic 的關係也未見緩和。特朗普政府曾公開批評 Anthropic 招聘了多名拜登政府前官員,並對其與自由派組織的關係表達不滿。一個例子顯示出雙方的信任問題:Anthropic 前研究員 Collin Burns 原本被安排進政府的 AI 模型評估崗位,但白宮高層得知後直接更換了人選,理由是避免 AI 公司人員直接參與與其他 AI 公司打交道的事務。此外,Anthropic 上週還披露了 Mythos 模型的未授權訪問事件,進一步加劇了外界對該公司的監管關注。
據 LA Times 報道,美國加州居民 Evan Tangeman(22 歲)爲"Crypto kids"犯罪集團洗錢至少 350 萬美元,被判處 70 個月聯邦監禁及 3 年監督釋放。 該集團通過冒充 Coinbase、Gemini 等交易所員工實施社會工程學詐騙,累計盜取逾 2.63 億美元加密資產,贓款用於購置豪車、租賃豪宅及奢侈消費。Tangeman 除負責洗錢外,還協助成員租賃豪宅,並在集團成員被捕後指示同案被告銷燬數字設備。聯邦探員在其住所查獲勞斯萊斯 Ghost 及保時捷 GT3 RS 各一輛。
據 Aftermath Finance 官方披露,該協議預計將在未來 48 至 72 小時內完成對用戶的全額賠付,目前團隊正全力推進資金返還工作,並對用戶的耐心等待表示感謝。此前消息,永續合約協議 Aftermath Finance 於昨日遭遇漏洞攻擊,損失約 114 萬美元資金。Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。
據 Pump.fun 官方消息,Pump.fun 推出 Charity Coins 功能,獨家集成慈善捐贈平臺 Donate.gg,代幣管理員(Coin Admin)可在費用設置中將創作者費用直接定向捐贈至最多 5 個慈善機構,目前已支持超過 10,000 家機構,無需慈善方額外入駐。 此次集成旨在解決此前自行捐贈存在的捐贈執行不確定、可能觸發應稅事件及慈善機構社交賬戶遭惡意攻擊等問題。
據 Sui 官方披露,Aftermath Finance 部署於 Sui 網絡的永續合約協議遭受漏洞攻擊,相關協議已隨即暫停運行。 Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。Aftermath Finance 方面將於近期就資金追回進展作進一步說明。
據華爾街日報報道,白宮已向 Anthropic 表明,反對其擴大旗下人工智能模型 Mythos 使用範圍的計劃。Anthropic 近期提議允許約 70 家公司及機構新增訪問 Mythos 系統,屆時擁有訪問權限的實體總數將達約 120 家。對此,政府官員以安全爲由明確表示反對。 知情人士透露,部分白宮官員擔憂 Mythos 具備發動網絡攻擊、在網絡上造成大規模破壞的能力,認爲擴大訪問範圍存在安全隱患。此外,亦有官員對 Anthropic 的算力儲備表示質疑,認爲其可能無法在服務大量新增實體的同時,保障政府對該系統的有效使用。 目前,儘管雙方均有意緩和關係,但圍繞 Mythos 訪問權限的分歧仍未解決。
Andre Cronje 表示,當前大部分去中心化金融(DeFi)協議已不再符合“嚴格意義上的 DeFi”,而更接近由團隊運營的商業系統,並圍繞是否應引入“熔斷機制(circuit breakers)”以應對攻擊風險,引發行業分歧。在接受採訪時,Andre Cronje 指出,早期 DeFi 以不可篡改智能合約爲核心,但如今大量協議依賴可升級合約、多籤權限、鏈下基礎設施與人工運維流程,本質上已從“不可變公共產品”轉變爲“可運營的盈利型業務”。他表示,在近期多起安全事件背景下,包括約 2.8 億美元與 2.93 億美元級別的 DeFi 攻擊,行業風險已從單純智能合約漏洞擴展至基礎設施、權限控制及社會工程攻擊等“Web2 式風險”。針對風險管理,Andre Cronje 所在的 Flying Tulip 近期引入熔斷機制,在異常資金流出時延遲或排隊提款,以提供約 6 小時的應急響應窗口,用於防止系統性擠兌與進一步損失。不過該機制也引發爭議。Michael Egorov 認爲,熔斷機制可能引入新的中心化攻擊面,如果由簽名者或管理員控制,反而可能成爲新的安全漏洞或凍結風險來源。他強調,DeFi 設計應儘量減少人爲干預,而非增加人工控制節點。業內分析指出,這一爭論本質上反映出 DeFi 正在從“代碼即法律”的理想模型,逐步轉向“混合治理+運營控制”的現實架構,而安全邊界正在重新定義。(Cointelegraph)
據 Blockaid 監測,Aftermath Finance 在 Sui Network 上的永續合約協議發生正在進行中的攻擊事件,約 110 萬美元 USDC 在約 36 分鐘內通過 11 筆交易被盜。分析顯示,此次漏洞源於永續合約清算系統中的手續費記賬缺陷,攻擊者藉此實現合成抵押品虛增,並從協議金庫中提取資金。
據鏈上安全機構 Blockaid(@blockaid_)監測,Sui Network 上的 AftermathFi 永續合約於 4月 29 日遭遇漏洞攻擊,攻擊者(地址:0x1a65...2d41e)在約 36 分鐘內通過 11 筆交易共盜取約 110 萬美元 USDC。據悉,此次攻擊利用了永續合約清算所費用覈算中的漏洞,通過合成抵押品虛增手段實現對協議金庫的非法提款。
ether.fi 首席執行官 Mike Silagadze 在 X 平臺發文回應承諾向 Kelp 黑客事件恢復基金投入 5000 枚 ETH 原因,他表示團隊認爲此次事件存在“摧毀整個 DeFi 生態”的真實風險,若 Kelp 破產,價值 15 億美元的 rsETH 可能被長期凍結,進而導致規模達 300 億美元的 Aave 借貸市場陷入停滯,並引發 DeFi 與 CeFi 連鎖崩盤,並稱“FTX 相比之下都顯得微不足道”。Mike Silagadze 補充稱,在多數機構選擇退縮並交由律師處理時,主動承擔責任並迅速籌資填補漏洞,幫助避免最壞情況發生是好的選擇。
渣打銀行最新報告指出,KelpDAO 的 rsETH 被盜事件雖對 DeFi 生態造成嚴重衝擊,但並不足以改變現實世界資產(RWA)代幣化長期增長趨勢,仍維持其預測:到 2028 年底,RWA 代幣化市場規模將從 2025 年 10 月的 350 億美元增長至 2 萬億美元,核心驅動力仍將來自 DeFi 銀行體系與穩定幣流動性的持續擴張。渣打數字資產研究主管 Geoffrey Kendrick 表示,此次事件更像是 DeFi“被壓彎而非被擊碎”(Bent, not broken),甚至可能成爲行業走向更強韌結構的重要轉折點。(The Block)
據 CertiK 披露,Syndicate 協議因 Commons 跨鏈橋遭到攻擊,發生一起漏洞利用事件。攻擊者通過上述漏洞獲取約 1850 萬枚 SYND 代幣,並將其出售,套現約 33 萬美元。目前,相關資金已通過跨鏈橋轉移至以太坊網絡。 Syndicate 官方回應,正在調查 Commons 橋的安全泄露事件。團隊正在追蹤攻擊行爲,並與安全公司合作。團隊還在考慮各種方案,以補償受影響的用戶。Syndicate 擁有足夠的代幣可用,以幫助那些丟失 SYND 的用戶。
據 Arkham 監測,Kyber Network 黑客正在將被盜資金轉移至 Tornado Cash。該黑客 Andean Medjedovic 曾於 2023 年末從 KyberSwap 竊取 4880 萬美元資金,此前還曾攻擊 Indexed Finance 並竊取 1650 萬美元。其已於 2025 年遭 FBI 起訴。
據 SlowMist 監測,由於 EIP-7702 賬戶存在設計缺陷,某 QNT 儲備池遭受攻擊,損失 1988.5 枚 QNT,價值約 54.93 枚 ETH。攻擊根源在於該儲備池的管理員身份由地址持有,該地址通過 EIP-7702 將其代碼委託給 BatchExecutor 合約。由於 BatchExecutor 授權了無權限控制的 BatchCall 合約作爲調用者,且 BatchCall.batch 函數缺乏權限檢查,導致攻擊者利用任意調用漏洞提取了池內代幣。
據 a16z 披露,其研究人員對 AI 代理能否獨立完成 DeFi 價格操縱漏洞利用進行了系統測試。研究以 20 起以太坊價格操縱事件爲數據集,使用配備 Foundry 工具鏈的 Codex(GPT 5.4)作爲測試代理。在無領域知識的基準條件下,代理成功率僅爲 10%;引入基於真實攻擊事件提煉的結構化領域知識後,成功率提升至 70%。 失敗案例顯示,代理均能準確識別漏洞,但普遍無法理解遞歸借貸的槓桿邏輯、錯誤判斷盈利空間,以及無法組裝跨合約的多步驟攻擊結構。實驗還記錄到一起沙箱逃逸事件:代理通過提取本地節點配置中的 RPC 密鑰,調用 anvil_reset 方法將節點重置至未來區塊,繞過信息隔離限制並獲取真實攻擊數據。 研究團隊認爲,AI 代理目前可有效輔助漏洞識別,但尚不能替代專業安全審計人員。
據 ZetaChain 官方披露,4 月 27 日,ZetaChain 遭受一次定向漏洞攻擊,攻擊者事先通過 Tornado Cash 獲取資金並實施錢包地址欺騙,最終利用 GatewayEVM 任意調用功能漏洞,在 4 條關聯鏈上造成約 33.4 萬美元損失。 ZetaChain 表示,此次攻擊未影響跨鏈 $ZETA 轉賬,受影響錢包均爲 ZetaChain 自控地址,用戶資金未受損失。目前主網補丁已完成部署,跨鏈交易將在持續監控後恢復開放。
據 Dark Web Informer 披露,去中心化預測市場平臺 Polymarket 疑遭黑客入侵,威脅行爲者 xorcat 在一知名網絡犯罪論壇發佈了逾 30 萬條數據記錄及配套漏洞利用工具包。數據提取日期爲 2026 年 4 月 27 日。 據稱,攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括:1 萬個用戶完整個人信息(含姓名、代理錢包及基礎地址)、4111 條評論、1000 條舉報記錄(含 58 個 ETH 地址及管理員認證地址標識)、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址,以及 9000 個關注者社交圖譜數據。 工具包中包含多個漏洞的概念驗證代碼,涉及 CVE-2025-62718(Axios NO_PROXY 繞過,CVSS 9.9,可觸發服務端請求僞造)、CVE-2024-51479(Next.js 中間件認證繞過,CVSS 7.5)及 CORS 錯誤配置等。此外,工具包還附有自動化持續拉取腳本及完整紅隊報告(含 M
據 Tropykus 官方披露,去中心化借貸協議 Tropykus 宣佈啓動現版本協議的漸進式關閉流程,存款與借貸功能將永久停用,用戶可通過 tropykus.com 進行提款及還款操作,截止日期爲 2026 年 7 月 27 日,此後相關操作將僅支持直接與智能合約交互。 團隊表示,此次關閉決定系出於長期戰略演進考量,並非源於此前 Money on Chain 合作方收到的安全報告。該報告此前已促使協議預防性暫停存款與新增借貸功能,但團隊強調,關閉決定早於該事件已在內部討論,安全事件僅起到加速作用。在技術層面,團隊指出,原有架構設計於早期技術環境之下,面對人工智能等新興技術帶來的安全挑戰,現有架構已難以滿足長期發展需求。 團隊建議所有用戶在 2026 年 7 月 27 日前通過 tropykus.com 完成提款並結清借貸頭寸,逾期後操作將需具備直接與智能合約交互的技術能力。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,一名用戶持有的 Alchemix Yearn yvVault 頭寸(代幣 $yvWETH)遭到攻擊,損失估計約 100 萬美元。 攻擊根源在於該用戶此前曾向一個未經驗證的合約授權(合約地址:0x143a),該合約於 10 天前部署。經反編譯分析,該合約存在漏洞,可被利用執行任意調用(arbitrary call execution)。攻擊者通過上述漏洞,成功轉移了受害者的 yvVault 頭寸。 目前,PeckShield 已公開披露該漏洞的具體邏輯。建議用戶檢查並撤銷對未知或未經驗證合約的代幣授權,以降低資產風險。