與該事件類型相關的快訊
據 Blockaid 監測,Aftermath Finance 在 Sui Network 上的永續合約協議發生正在進行中的攻擊事件,約 110 萬美元 USDC 在約 36 分鐘內通過 11 筆交易被盜。分析顯示,此次漏洞源於永續合約清算系統中的手續費記賬缺陷,攻擊者藉此實現合成抵押品虛增,並從協議金庫中提取資金。
據鏈上安全機構 Blockaid(@blockaid_)監測,Sui Network 上的 AftermathFi 永續合約於 4月 29 日遭遇漏洞攻擊,攻擊者(地址:0x1a65...2d41e)在約 36 分鐘內通過 11 筆交易共盜取約 110 萬美元 USDC。據悉,此次攻擊利用了永續合約清算所費用覈算中的漏洞,通過合成抵押品虛增手段實現對協議金庫的非法提款。
ether.fi 首席執行官 Mike Silagadze 在 X 平臺發文回應承諾向 Kelp 黑客事件恢復基金投入 5000 枚 ETH 原因,他表示團隊認爲此次事件存在“摧毀整個 DeFi 生態”的真實風險,若 Kelp 破產,價值 15 億美元的 rsETH 可能被長期凍結,進而導致規模達 300 億美元的 Aave 借貸市場陷入停滯,並引發 DeFi 與 CeFi 連鎖崩盤,並稱“FTX 相比之下都顯得微不足道”。Mike Silagadze 補充稱,在多數機構選擇退縮並交由律師處理時,主動承擔責任並迅速籌資填補漏洞,幫助避免最壞情況發生是好的選擇。
渣打銀行最新報告指出,KelpDAO 的 rsETH 被盜事件雖對 DeFi 生態造成嚴重衝擊,但並不足以改變現實世界資產(RWA)代幣化長期增長趨勢,仍維持其預測:到 2028 年底,RWA 代幣化市場規模將從 2025 年 10 月的 350 億美元增長至 2 萬億美元,核心驅動力仍將來自 DeFi 銀行體系與穩定幣流動性的持續擴張。渣打數字資產研究主管 Geoffrey Kendrick 表示,此次事件更像是 DeFi“被壓彎而非被擊碎”(Bent, not broken),甚至可能成爲行業走向更強韌結構的重要轉折點。(The Block)
據 CertiK 披露,Syndicate 協議因 Commons 跨鏈橋遭到攻擊,發生一起漏洞利用事件。攻擊者通過上述漏洞獲取約 1850 萬枚 SYND 代幣,並將其出售,套現約 33 萬美元。目前,相關資金已通過跨鏈橋轉移至以太坊網絡。 Syndicate 官方回應,正在調查 Commons 橋的安全泄露事件。團隊正在追蹤攻擊行爲,並與安全公司合作。團隊還在考慮各種方案,以補償受影響的用戶。Syndicate 擁有足夠的代幣可用,以幫助那些丟失 SYND 的用戶。
據 Arkham 監測,Kyber Network 黑客正在將被盜資金轉移至 Tornado Cash。該黑客 Andean Medjedovic 曾於 2023 年末從 KyberSwap 竊取 4880 萬美元資金,此前還曾攻擊 Indexed Finance 並竊取 1650 萬美元。其已於 2025 年遭 FBI 起訴。
據 SlowMist 監測,由於 EIP-7702 賬戶存在設計缺陷,某 QNT 儲備池遭受攻擊,損失 1988.5 枚 QNT,價值約 54.93 枚 ETH。攻擊根源在於該儲備池的管理員身份由地址持有,該地址通過 EIP-7702 將其代碼委託給 BatchExecutor 合約。由於 BatchExecutor 授權了無權限控制的 BatchCall 合約作爲調用者,且 BatchCall.batch 函數缺乏權限檢查,導致攻擊者利用任意調用漏洞提取了池內代幣。
據 a16z 披露,其研究人員對 AI 代理能否獨立完成 DeFi 價格操縱漏洞利用進行了系統測試。研究以 20 起以太坊價格操縱事件爲數據集,使用配備 Foundry 工具鏈的 Codex(GPT 5.4)作爲測試代理。在無領域知識的基準條件下,代理成功率僅爲 10%;引入基於真實攻擊事件提煉的結構化領域知識後,成功率提升至 70%。 失敗案例顯示,代理均能準確識別漏洞,但普遍無法理解遞歸借貸的槓桿邏輯、錯誤判斷盈利空間,以及無法組裝跨合約的多步驟攻擊結構。實驗還記錄到一起沙箱逃逸事件:代理通過提取本地節點配置中的 RPC 密鑰,調用 anvil_reset 方法將節點重置至未來區塊,繞過信息隔離限制並獲取真實攻擊數據。 研究團隊認爲,AI 代理目前可有效輔助漏洞識別,但尚不能替代專業安全審計人員。
據 ZetaChain 官方披露,4 月 27 日,ZetaChain 遭受一次定向漏洞攻擊,攻擊者事先通過 Tornado Cash 獲取資金並實施錢包地址欺騙,最終利用 GatewayEVM 任意調用功能漏洞,在 4 條關聯鏈上造成約 33.4 萬美元損失。 ZetaChain 表示,此次攻擊未影響跨鏈 $ZETA 轉賬,受影響錢包均爲 ZetaChain 自控地址,用戶資金未受損失。目前主網補丁已完成部署,跨鏈交易將在持續監控後恢復開放。
據 Dark Web Informer 披露,去中心化預測市場平臺 Polymarket 疑遭黑客入侵,威脅行爲者 xorcat 在一知名網絡犯罪論壇發佈了逾 30 萬條數據記錄及配套漏洞利用工具包。數據提取日期爲 2026 年 4 月 27 日。 據稱,攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括:1 萬個用戶完整個人信息(含姓名、代理錢包及基礎地址)、4111 條評論、1000 條舉報記錄(含 58 個 ETH 地址及管理員認證地址標識)、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址,以及 9000 個關注者社交圖譜數據。 工具包中包含多個漏洞的概念驗證代碼,涉及 CVE-2025-62718(Axios NO_PROXY 繞過,CVSS 9.9,可觸發服務端請求僞造)、CVE-2024-51479(Next.js 中間件認證繞過,CVSS 7.5)及 CORS 錯誤配置等。此外,工具包還附有自動化持續拉取腳本及完整紅隊報告(含 M
據 Tropykus 官方披露,去中心化借貸協議 Tropykus 宣佈啓動現版本協議的漸進式關閉流程,存款與借貸功能將永久停用,用戶可通過 tropykus.com 進行提款及還款操作,截止日期爲 2026 年 7 月 27 日,此後相關操作將僅支持直接與智能合約交互。 團隊表示,此次關閉決定系出於長期戰略演進考量,並非源於此前 Money on Chain 合作方收到的安全報告。該報告此前已促使協議預防性暫停存款與新增借貸功能,但團隊強調,關閉決定早於該事件已在內部討論,安全事件僅起到加速作用。在技術層面,團隊指出,原有架構設計於早期技術環境之下,面對人工智能等新興技術帶來的安全挑戰,現有架構已難以滿足長期發展需求。 團隊建議所有用戶在 2026 年 7 月 27 日前通過 tropykus.com 完成提款並結清借貸頭寸,逾期後操作將需具備直接與智能合約交互的技術能力。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,一名用戶持有的 Alchemix Yearn yvVault 頭寸(代幣 $yvWETH)遭到攻擊,損失估計約 100 萬美元。 攻擊根源在於該用戶此前曾向一個未經驗證的合約授權(合約地址:0x143a),該合約於 10 天前部署。經反編譯分析,該合約存在漏洞,可被利用執行任意調用(arbitrary call execution)。攻擊者通過上述漏洞,成功轉移了受害者的 yvVault 頭寸。 目前,PeckShield 已公開披露該漏洞的具體邏輯。建議用戶檢查並撤銷對未知或未經驗證合約的代幣授權,以降低資產風險。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,Trading Protocol 旗下金庫 YieldCore-3rd-deal 遭到攻擊,損失約 39.8 萬美元。 攻擊原因系合約存在調用者權限校驗缺失漏洞,攻擊者利用該漏洞繞過授權機制,將金庫內資金全部提取。目前相關鏈上交易記錄已被披露。
過去十年(2016–2026)累計損失 171 億美元,涉及 518 起事件;過去五年(2021–2026)約損失 152 億美元,涉及 450 餘起事件;過去一年(2025 年 4 月–2026 年 4 月)約損失 25 億美元,涉及 140 餘起事件。近期損失顯示,加密攻擊已從智能合約漏洞轉向私鑰泄露和訪問控制。(Solid Intel)
據 Cointelegraph 報道,Robinhood 用戶近期遭遇一輪釣魚攻擊。攻擊者利用 Gmail 忽略郵箱用戶名中 “ . ” 的特性,以及 Robinhood 賬戶創建流程中的漏洞,註冊與目標郵箱高度相似的賬戶,並藉此讓 Robinhood 官方郵件服務器向受害者收件箱發送帶有釣魚鏈接的僞造提醒郵件。網絡安全研究員 Alex Eckelberry 表示,該郵件可通過 SPF、DKIM 和 DMARC 驗證,看似來自官方地址。 Robinhood 稱,此事並非系統或客戶賬戶遭入侵,用戶資金和個人信息未受影響,但提醒用戶刪除相關郵件,勿點擊可疑鏈接。
慢霧發文表示,ZetaChain 遭攻擊利用,初步分析顯示漏洞根源在於 GatewayZEVM 合約 call 函數缺乏訪問控制與輸入驗證,攻擊者可藉此發起惡意跨鏈調用,並通過中繼機制在目標鏈執行任意操作轉移資金。慢霧稱,攻擊者通過僞造跨鏈事件觸發中繼器執行惡意調用,從而完成資金竊取,目前相關攻擊交易已被披露。
據官方消息,ZetaChain 表示,其 GatewayEVM 合約今日遭遇攻擊,影響範圍僅限 ZetaChain 團隊內部錢包。官方稱,相關攻擊路徑已被阻斷,暫無更多資金面臨風險。作爲預防措施,ZetaChain 已暫停跨鏈交易。與此同時,官方表示調查仍在進行中,目前暫無用戶資金受到此次攻擊影響,後續將在調查完成後發佈詳細事後分析報告。
Circle Ventures、Consensys 及 Joseph Lubin 宣佈支持 DeFi United 行動,旨在緩解 Kelp DAO 漏洞造成的損失。Circle Ventures 正通過購買 AAVE 代幣支持該生態系統。Consensys 及以太坊聯合創始人 Joseph Lubin 確認爲 DeFi United 提供 3 萬枚 ETH。目前 DeFi United 已籌集超過 13.2 萬枚 ETH,總價值超過 3 億美元。相關資金將用於彌補因攻擊者通過 LayerZero 橋鑄造無抵押 rsETH 並在 Aave 借出資產導致的壞賬。此前 Aave 已提議捐贈 2.5 萬枚 ETH,Lido DAO、Ether.fi 及 Kelp 也分別提議或承諾捐贈 2500 枚 ETH、5000 枚 ETH 及 2000 枚 ETH。
據 Ai 姨監測,Galaxy Digital OTC 關聯地址 (0x16F...1Fde) 向交易所充值 1.5 萬枚 ETH,價值 3474 萬美元。該筆資金來源爲一週前從 Aave 取出的 3.8 萬枚 ETH,即 Kelp DAO 被攻擊致使 Aave 疑似出現壞賬當日。
法國國家有組織犯罪檢察官辦公室(PNACO)週五發佈公告表示,法國已針對 12 起有組織犯罪團伙策劃的加密貨幣綁架案件展開司法調查,目前已起訴 88 名嫌疑人,其中包括 10 餘名未成年人。據統計,自 2023 年以來,法國共記錄 135 起與加密貨幣相關的襲擊事件,其中 2024 年 18 起,2025 年 67 起,2026 年至今已發生 47 起。被起訴人員涉及綁架、非法拘禁、勒索及洗錢等罪名。近期,警方在兩場針對綁架案的行動中逮捕 6 名嫌疑人,目前所有人員均已被預防性拘留。CertiK 區塊鏈情報分析師 Jonathan Riss 表示,此類犯罪團伙的主謀通常位於歐盟以外。