與該事件類型相關的快訊
據網絡安全公司 Expel 研究報告披露,其正追蹤一個被高度評估爲朝鮮(DPRK)國家支持的 APT 組織"HexagonalRodent",該組織以 Web3 開發者爲主要目標,專門竊取加密貨幣與 NFT 等高價值數字資產。2026 年前三個月,該組織已從 2726 臺受感染開發者設備中竊取 26584 個加密錢包的訪問權限,涉及資產總值高達 1200 萬美元。 該組織主要通過僞造招聘信息實施攻擊——在 LinkedIn 及 Web3 招聘平臺發佈高薪職位,誘導求職者完成內嵌惡意代碼的"技能測試",利用 VSCode 的 tasks.json 功能在受害者打開項目文件夾時自動執行惡意程序。所使用的惡意軟件包括 BeaverTail、OtterCookie 和 InvisibleFerret,具備密碼竊取、遠程控制及反向 Shell 等功能。 值得關注的是,該組織大量藉助 ChatGPT、Cursor 等生成式 AI 工具開發惡意軟件、構建虛假公司網站及 AI 生成的高管團隊,甚至在墨西哥註冊了空殼企業以提升攻擊可信度。此外,該組織近期首次實施供應鏈攻擊,成功入侵 VSCode 擴展"
Kelp DAO在 X 平臺發佈社區更新,其中指出過去數日 rsETH 安全事件持續緊張,但在合作伙伴及社區支持下,相關討論正朝積極方向推進,目前正加速尋求合適的解決方案。相關原則已體現在初步行動中,後續更新亦將延續這一方向,力求實現多方共贏。 過去四天,Kelp 團隊聯合合作伙伴與各方深入溝通,具體進展包括:Arbitrum 安全委員會已採取措施凍結被盜資金,SEAL 911 應急團隊已迅速介入初步調查爲事件提供清晰且客觀的分析視角。儘管部分進展尚未完全公開,但相關工作仍在穩步推進。Kelp DAO 表示,目前工作重心集中於保障用戶資產安全及加強協議本身,此次事件亦被視爲對項目及整個 DeFi 生態的重要考驗,後續將繼續通過官方渠道披露後續關鍵進展。
據鏈上分析師 Ai 姨(@ai_9684xtpa)監測,地址 0xb5E…Fc24e 於 2 小時前向三個交易所累計充值 139.7 萬枚 UNI,價值約 460 萬美元。值得關注的是,其中 Bybit 充值地址曾與 DeFi 加密基金 DeFiance Capital 存在多次交互,而 DeFiance Capital 爲 Aave 和 LayerZero 的投資方,兩者均爲本次 Kelp DAO 被攻擊事件的主要關聯方。
SlowMist CISO 23pds(@im23pds)披露,密碼管理工具 Bitwarden CLI 版本 2026.4.0 於 4 月 22 日美東時間 17:57 至 19:30 期間遭受 Checkmarx 供應鏈攻擊,攻擊者通過濫用 Bitwarden CI/CD 管道中的 GitHub Action,將惡意包短暫經由 npm 分發。官方確認 Vault 數據未泄露,生產系統未受影響,僅該時間窗口內通過 npm 安裝該版本的用戶受到波及。官方建議受影響用戶立即卸載 2026.4.0、清理 npm 緩存、輪換 API Token 及 SSH Key 等敏感憑證、排查 GitHub 與 CI 異常活動,並升級至修復版本 2026.4.1。
據鏈上分析師 Onchain Lens(@OnchainLens)監測,Balancer 黑客地址在沉寂 5 個月後重新活躍,將 100枚 ETH(約 23.3 萬美元)轉移至新錢包,並開始通過 ThorChain 進行資金轉移。目前該黑客仍持有 21,900枚 ETH,價值約 5113 萬美元。
據治理論壇頁面信息,Mantle 計劃向 Aave 提供 3 萬枚 ETH 貸款,以幫助其應對近期攻擊事件引發的壞賬風險。 據分析師餘燼統計,至此,已確認的救援資金覆蓋約 4.35 萬枚 ETH 的缺口。
據 Onchain Lens 監測,沉寂 5 個月的 Balancer 攻擊者已將 100 枚 ETH(約 23.3 萬美元)轉移至新地址,並開始通過 Tornado Cash 進行轉移。目前該攻擊者仍持有 21900 枚 ETH,價值約 5113 萬美元。
據 The Block 報道,摩根大通分析師在最新報告中指出,持續的 DeFi 安全漏洞與總鎖倉量(TVL)增長停滯,正持續限制機構對 DeFi 領域的參與熱情。 近期 Kelp DAO 跨鏈橋遭遇重大攻擊,攻擊者鑄造 2.92 億美元無抵押 rsETH 代幣並在 Aave 借出真實 ETH,造成約 2.3 億美元壞賬,導致 DeFi 總鎖倉量在數日內蒸發約 200 億美元。LayerZero 及區塊鏈安全研究人員已將此次攻擊歸因於朝鮮黑客組織 Lazarus Group,部分被盜資金已被凍結,其餘仍在流轉。 分析師還指出,以 ETH 計價的 DeFi TVL 長期橫盤,引發市場對 DeFi 能否實現有機增長以支撐機構採用的質疑。此外,每次安全事件發生後,用戶傾向於將資金轉入 USDT 避險,但這一趨勢尚未明顯推動 USDT 市值增長。
據治理論壇信息,Bybit 公鏈 Mantle 計劃向 Aave 提供 3 萬枚 ETH 貸款,以應對近期安全事件引發的壞賬風險。據加密分析師 餘燼@EmberCN 統計,目前已確認的救助資金規模約覆蓋 4.35 萬枚 ETH 缺口。
據鏈上分析師餘燼(@EmberCN)披露,4月 18日 rsETH 事件造成約 6.89 萬枚 ETH(約 1.6 億美元)資金缺口——黑客抵押 rsETH 借走 9.96 萬枚 ETH,扣除 Arbitrum 追回的 3.07 萬枚 ETH,剩餘資金已全部被黑客兌換爲 BTC。 目前事件進入善後階段,Aave 協調成立"DeFi United"救助基金,已獲多方累計捐款 1.35 萬枚 ETH(約 3145 萬美元),捐贈方包括 Lido Finance(2500枚 stETH)、ether.fi 基金會(5000枚 ETH)、Aave 創始人 Stani Kulechov(5000枚 ETH)、Golem Foundation(1000枚 ETH)及 LayerZero、Ink Foundation 等(金額未披露)。
Lido 發起提案,擬由 DAO 撥出最多 2,500 枚 stETH(約 580 萬美元),用於彌補 Kelp DAO 近期攻擊事件導致的 rsETH 資產缺口。Lido 指出,此次基於 LayerZero 的漏洞利用已造成 rsETH 儲備不足,並在 DeFi 生態中引發連鎖反應,包括利率壓力上升、借貸市場緊張以及部分槓桿策略面臨被動清算風險。該提案強調,這筆資金僅會作爲完整恢復方案的一部分使用,前提是整體缺口能夠被完全填補。此前,Kelp DAO 約 2.92 億美元的攻擊事件已波及 Aave,引發壞賬問題,其總鎖倉價值(TVL)一度下滑近 80 億美元。
Aave 在 X 平臺發佈 rsETH 安全事件最新進展,其披露已在以太坊主網及 Arbitrum、Base、Mantle、Linea 等網絡暫停 rsETH 儲備相關操作。此次措施旨在在資產追回方案推進過程中,儘可能保全更多資金,降低系統性風險。Aave 表示,後續進展及處置方案將持續向社區披露。
Aave 在 X 平臺發佈 rsETH 安全事件最新進展稱,已在以太坊主網及 Arbitrum、Base、Mantle、Linea 等網絡暫停 rsETH 儲備相關操作。此次措施旨在在資產追回方案推進過程中,儘可能保全更多資金,降低系統性風險,Aave 表示後續進展及處置方案將持續向社區披露。
Lido 就 Kelp 安全事件發佈最新進展,稱其 Earn 系列金庫正與管理方推進問題處置,涉及 rsETH 敞口及借貸市場流動性緊張兩大風險點。Lido 強調,核心質押協議未受影響,stETH 與 wstETH 均保持安全穩定。 目前僅 EarnETH 金庫存在約 9% TVL 的 rsETH 敞口,相關存取款已由管理方暫停,等待解決方案落地。此前攻擊中約 7000 萬美元 ETH 已被追回,後續資產恢復與損失分配仍在推進中。在應對流動性壓力方面,管理方已降低槓桿並優化倉位結構,顯著減少 wETH 債務敞口。如最終產生損失,EarnETH 將啓用 300 萬美元的“首損保護機制”(由 DAO 承擔)。其他金庫方面,DVV 與 EarnUSD 未受影響,運行正常;GGV 子金庫因循環質押策略疊加借貸利率上升,當前出現負收益,但正持續調整。用戶此前提交的提現請求將按事件前估值處理。
據 Decrypt 報道,美國衆議員 Thomas Massie與 Lauren Boebert 聯合提出 AI 監控法案《Surveillance Accountability Act》,擬要求美國聯邦機構在使用人工智能進行數據分析與監控時必須獲得司法令狀。據悉,該法案旨在修補“第三方原則”漏洞,這一源自 20 世紀 70 年代判例的法律框架使美國政府可在無需令狀情況下獲取用戶在銀行、電信等第三方平臺的數據。提案方認爲,在互聯網與 AI 時代,該原則已被過度擴展,削弱了公民隱私保護。
Anthropic 與 OpenAI 相繼出現安全事件,引發市場對 AI 模型自身安全性的關注。目前 Anthropic 正在調查其 Claude Mythos 模型可能被用戶未經授權訪問的情況。幾乎同時,OpenAI 也被曝在其 Codex 應用中,意外開放了多款尚未發佈的模型。分析認爲,此類事件凸顯出,即便是主打網絡安全能力的 AI 模型提供商,自身仍面臨較大安全挑戰。在 AI 逐步用於防禦網絡攻擊的同時,其平臺安全與訪問控制問題同樣成爲關鍵風險點。業內觀點指出,這些漏洞事件強化了對 AI 企業安全治理能力的審視,也反映出當前 AI 技術在快速發展過程中,安全體系仍有待完善。(The Information)
據 Decrypt 報道,OpenAI 首席執行官 Sam Altman 表示,Anthropic 正藉助“恐懼式營銷”推廣其 AI 模型 Claude Mythos,並以安全風險敘事爲其有限開放策略提供依據。Claude Mythos 近期因可自主發現軟件漏洞、執行復雜網絡安全操作而引發關注。 報道提及,Mozilla 此前披露,該模型在測試中發現 Firefox 瀏覽器 271 個漏洞。與此同時,圍繞該模型潛在進攻性網絡安全風險的討論持續升溫。Altman 還表示,OpenAI 不會縮減基礎設施投入,仍將繼續擴展算力能力。
Spark 在 X 平臺發文表示,原生代幣 SPK 總質押量剛剛突破 5 億枚,根據其展示數據顯示當前觸及 509,969,466 枚,同時用戶通過質押 SPK 可參與 Spark Points Program 第四季,並獲得積分獎勵。 此前由於 rsETH 安全事件影響導致 Aave 資金持續流出,而 Spark 吸納了部分巨鯨/機構從 Aave 撤出的資金。
Ledger 首席技術官 Charles Guillemet 指出,後量子密碼發展已進入關鍵階段,雖然實用型量子計算機落地時間尚未明確,但全行業加密體系遷移已是必然趨勢。在 NIST 主導下,傳統領域計劃 2030 年前淘汰高危算法、2035 年全面禁用,政企機構將在 2029 年前完成遷移佈局。加密與密鑰交換將採用 ML-KEM 抵禦囤積數據量子解密攻擊,數字簽名成爲區塊鏈改造核心。傳統行業偏好 ML-DSA 混合方案,區塊鏈更青睞安全穩健的 SLH-DSA 哈希簽名。兩種方案各有優劣,且後量子算法與 MPC、門限簽名的兼容難題,仍是行業亟待解決的關鍵風險。
據 CertiK 高級區塊鏈調查員 Natalie Newson 表示,即時深度僞造、網絡釣魚、供應鏈攻擊及跨鏈漏洞將是 2026 年加密黑客攻擊的主要根源。2026 年迄今行業已因黑客攻擊損失逾 6 億美元,其中包括 4 月發生的 Kelp DAO 2.93 億美元漏洞事件及 Drift Protocol 2.8 億美元被盜事件,兩起事件均與朝鮮黑客組織有關。 Newson 警告稱,AI 加速發展將使攻擊手段更加複雜,包括更逼真的深度僞造、自主攻擊代理及可自動掃描智能合約漏洞的"代理 AI",但 AI 同時也可作爲防禦工具。CertiK 建議投資者覈實 URL 真實性、使用冷錢包存儲資產以降低風險。