同時關聯該項目與事件的快訊
美國總統科學與技術顧問委員會聯席主席 David Sacks 發文回應 Anthropic“安全爭議”引發管制,他表示已就當前 Anthropic 相關情況與多方進行了溝通,並總結稱當前事件的核心在於其新發布模型 “Fable”(對應 Mythos 類模型的商業版本)所引發的安全爭議。儘管 Anthropic 在公開聲明中稱該漏洞“不嚴重”,但美國政府及測試方均不認同這一判斷,認爲其已足以影響模型安全性,甚至涉及“網絡武器可操作性”風險。David Sacks 進一步批評稱,Anthropic 過去一直強調“安全優先”,但此次更傾向維持消費者版本持續上線,而非優先修復安全問題。此事不應與此前其他國防或監管爭議混爲一談,並稱美國政府仍認可 Anthropic 技術能力,當前問題“本可迅速解決,主動權在 Anthropic 一方”。
Bitcoin Core Project 發佈安全公告,確認在 31.0 版本中引入的 -privatebroadcast 功能存在隱私漏洞。
Sui 官方發佈公告,主網因 1.72 版本 Gas 計費邏輯存在漏洞出現宕機,全網交易及鏈上活動暫時中斷。目前 Sui Core 團隊已完成應急處置,主網恢復正常運行。官方表示,後續將對外發布完整覆盤報告,詳解事故成因與修復方案。
Squid在 X 平臺發文表示,此次事件與 Squid 核心協議及合約無關,所有 Squid 用戶及集成方均未受影響,無需採取任何行動。今日 Base 與 Ethereum 網絡上一個第三方 Gnosis Safe 模塊遭到攻擊,損失約 320 萬美元。該漏洞合約在 Basescan 上驗證名稱爲"SquidRouterModule",但該合約並非由 Squid 構建、部署或運營,而是一個選擇集成 Squid 及其他協議的第三方智能錢包產品,且與 Squid 無聯繫。攻擊原理爲該第三方模塊接受調用者提供的常量字符串作爲消息安全證明,該字符串在已驗證合約代碼中公開可見,攻擊者輸入後即可執行任意 calldata 數組,隨意竊取資金。受害者的 Safe 錢包將該問題合約添加爲受信任 Safe Module,使該合約無需簽名即可支配 Safe 內任意代幣。Squid 自有路由合約 (0xce16...D666) 架構不同,未受影響,Squid 用戶資金、授權及集成均完全安全。早期公開報道或因 Basescan 上的合約驗證名稱提及"SquidRouter",準確表述應爲:第三方 SquidRouterModule 遭攻擊,而非 Squid 的 Router 合約。該合約名稱與 Squid 相同,但非 Squid 代碼。Squid 正持續監控事態,如有重大變化將更新信息。
據官方消息,AaveLabs 提議將 Aave DAO 漏洞賞金框架重組爲多個特定子系統計劃,分別在 Immunefi、Sherlock 和 Cantina 平臺上運行。Core Aave V3、Core Aave V2、GHO 及非流動性協議基礎設施由 Immunefi 覆蓋,Aave V4 和 Aave App Stack 由 Sherlock 覆蓋,Aptos 上的 Aave V3 由 Cantina 覆蓋。提案建議調整各系統賞金規模,Core Aave V3 嚴重漏洞最高獎勵爲 500 萬美元,Aave V4 嚴重漏洞最高獎勵爲 250 萬美元。此外,Aptos 上的 Aave V3 漏洞賞金出資方將從 Aave Labs 轉移至 Aave DAO。目前該 ARFC 提案已獲得通過。
Aave 發文表示,其漏洞賞金計劃已更新,以便更好地使獎勵與生態系統中每個部分的風險狀況相匹配,並簡化審查路徑。Aave V4 和 Core Aave V3 的嚴重漏洞修復獎勵上限現已提高五倍。
據 CoinDesk 報道,在 Consensus Miami 的"永續 DEX 爆發:看漲交易量與熊市韌性"主題論壇上,多位業內人士表示,機構投資者目前仍大量回避提供永續合約交易的去中心化交易所(Perp DEX)。資深交易員 Wizard of SoHo 指出,Drift 平臺近期遭受數百萬美元黑客攻擊,凸顯了 DeFi 生態的安全隱患,能否安全引入機構資金將成爲各大 Perp DEX 的核心競爭焦點。Canary Labs 的 Anderson 則表示對 DeFi 目前的安全狀況感到擔憂,認爲大型機構採用去中心化交易所的難度遠高於中心化平臺。 此外,DeFi 無許可的開放設計與機構嚴格的 KYC 合規要求之間的結構性矛盾,也被認爲是規模化落地的關鍵障礙。MN Fund 創始人 Michaël van de Poppe 則就 AI 交易工具發表看法,認爲 AI 代理本質上是算法交易的進化延伸,未來交易將趨向全面自動化。
Bitcoin Core 開發者披露編號爲 CVE-2024-52911 的高危漏洞,該漏洞影響 0.14.1 至 28.4 版本,攻擊者可通過構造特殊區塊使其他節點遠程崩潰並執行代碼。該漏洞由開發者 Cory Fields 於 2024 年 11 月發現並私下報告,修復方案已於 2024 年 12 月完成合並,並在 2025 年 4 月發佈的 v29 版本中正式上線。目前,28.x 系列最後一個存在漏洞的版本已於 2026 年 4 月 19 日停止維護。但由於比特幣節點升級屬於自願行爲,估算顯示目前仍約有 43%的節點運行受影響舊版本,存在潛在安全風險。
慢霧創始人餘弦於 X 平臺發文表示,“Ekubo 有關合約被惡意利用。原因是如果用戶之前將相關代幣授權給:0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd;如這位用戶 0x765DEC 的這筆 WBTC 無限授權(158 天前):攻擊者可指定已授權用戶作爲 payer,在 payCallback 中讓該合約調用 WBTC transferFrom(victim, Ekubo Core, amount),再通過 Ekubo Core(0xe0e0e08A6A4b9Dc7bD67BCB7aadE5cF48157d444) 的 withdraw/pay 平賬流程把資產轉給攻擊者。這個操作執行了 85 次,每次 0.2 WBTC,最終用戶 0x765DEC 損失 17 WBTC。建議用戶儘快安裝官方提醒檢查以下合約授權:0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum: 0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)。”
Aave 風險服務商 LlamaRisk 發佈事件報告,2026年 4月 18 日,攻擊者利用 Kelp 的 LayerZero V2 Unichain 至以太坊 rsETH 路由漏洞(1-of-1 DVN 配置缺陷),僞造入站數據包,從以太坊端適配器非法釋放 116,500枚 rsETH,並將其中 89,567 枚作爲抵押品存入 Aave V3 多個市場(涉及以太坊 Core 及 Arbitrum 等鏈),借出約 82,650枚 WETH(約 1.91 億美元)及 821枚 wstETH。 目前適配器僅剩 40,373枚 rsETH,而遠端鏈 rsETH 總索賠量達 152,577 枚,缺口巨大。根據損失分配方式不同,Aave 面臨兩種壞賬情景:情景一(全局均攤)預計壞賬約 1.237 億美元,以太坊 Core 承壓最大;情景二(損失僅限 L2)預計壞賬約 2.301 億美元,Mantle 面臨高達 71.45%的 WETH 儲備缺口,Arbitrum 爲26.67%。 事件發生後,Aave 協議守護者及風險管理員已於第一時間凍結全部 11 個市場的 rsETH/wrsETH 儲備
比特幣核心開發者 Jameson Lopp 表示,相較於未來可能出現的量子計算攻擊,他更傾向於將約 560 萬枚長期沉睡的 BTC 從網絡中“凍結”,而不是讓其被攻擊者獲取,這些比特幣已超過 10 年未移動,可能已永久丟失,按當前價格估值約 4200 億美元,若未來量子計算突破導致舊地址私鑰被破解,這部分資產可能被重新轉移,從而引發市場劇烈波動甚至信心危機,雖然社區近期已提出 BIP-361 提案但該提案仍處於早期階段,並非正式推動方案,而更像是一種應對“極端風險”的預案。(CoinDesk)