同時關聯該項目與事件的快訊
Zcash founder Zooko Wilcox 在 X 發文表示,由 Anthropic 的 Claude Mythos 人工智能模型進行的安全審計未在 Zcash 協議中發現“更嚴重漏洞”。該審計由支持 Zcash 發展的瑞士非營利組織 Shielded Labs 請求開展。 6 月 3 日,Zcash 開發者在發現屏蔽池漏洞後曾臨時暫停 Orchard 交易,並於當天通過緊急升級恢復功能。該問題源於 Orchard 屏蔽池中一個存在四年的僞造漏洞,由安全研究員 Taylor Hornby 在 Anthropic 的 Claude Opus 4.8 模型協助下發現;Zcash Foundation 表示,沒有證據顯示該漏洞被利用,也未檢測到未經授權的價值創造,用戶隱私未受影響。Anthropic 於週二發佈 Claude Mythos 模型首個公開版本 Fable 5,並於週五表示,因美國政府以國家安全擔憂爲由發佈出口管制指令,已暫停 Fable 5 和 Mythos 5 AI 模型訪問權限。(Cointelegraph)
據 Cointelegraph 報道,Zcash 創始人 Zooko Wilcox 表示,由 Shielded Labs 委託、Anthropic Mythos AI 模型對 Zcash 協議進行的安全審計未發現任何新的嚴重漏洞。此前,安全研究員 Taylor Hornby 藉助 Claude Opus 4.8 發現了 Orchard 屏蔽池中一個存在四年的僞造漏洞,導致開發者於 6 月 3 日緊急暫停 Orchard 交易,並於當日完成修復,Zcash 基金會確認無證據顯示該漏洞曾被利用,用戶隱私未受影響。
Coinbase 牽頭的密碼學專家顧問委員會發布報告稱,比特幣應立即開始爲潛在量子計算攻擊做準備,但對於是否應凍結未來可能被量子計算竊取的數百萬枚比特幣,委員會未給出明確立場。 據悉,該委員會成員包括以太坊基金會研究員 Justin Drake 等多名頭部專家,他們認爲目前爭議焦點並非如何引入抗量子簽名技術,而是如何處理那些長期未遷移的比特幣。一派觀點呼籲設定最終期限,屆時比特幣現有的 ECDSA和 Schnorr 簽名方案將停止支持,未遷移資產將被凍結,以避免未來量子攻擊者獲得大量 BTC 並衝擊市場。另一派則認爲,這相當於資產沒收,違背比特幣“不可篡改和用戶完全控制資產”的核心理念,並可能爲未來因監管壓力凍結資產開創先例。 Coinbase 顧問委員會指出,上述方案並非互斥,可以組合採用,但拒絕在“是否凍結遺留 BTC”問題上表態,認爲最終決定應由比特幣社區治理,同時強調兩點:第一,抗量子簽名遷移的技術開發應立即啓動,不應等待治理爭論結束;第二,需要向用戶明確傳遞風險信息,避免長期不確定性影響比特幣生態。
Zcash Foundation 發佈 Zebra 4.5.3 和 5.0.0 ,以修復 Orchard 零知識證明電路中的關鍵健全性漏洞。其中, 4.5.3 通過緊急軟分叉臨時禁用 Orchard 操作, 5.0.0 則激活 NU 6.2 ,使用修正後的電路重新啓用 Orchard 並永久關閉漏洞。
Zcash 基金會宣佈發佈 Zebra 4.5.1 版本更新,用於修復一個共識級(consensus-critical)安全漏洞,並強烈建議所有節點運營者立即升級。該漏洞編號爲 GHSA-2prc-cj5x-4443,涉及 P2SH 交易中的 sigop(簽名操作數)統計錯誤,可能導致潛在共識分叉風險。此次修復糾正了此前 4.5.0 版本中修補不完整的問題,該版本剛於昨日發佈。Zcash 開發團隊表示,問題源於 sigop 計數邏輯在不同實現間存在偏差,可能導致節點在驗證交易時產生不同結果,從而影響鏈上共識一致性。修復方案通過回退並調整 Rust 實現邏輯,確保與協議預期行爲一致。Zcash 基金會強調,目前不存在繞過該問題的解決方案,升級至 4.5.1 是唯一確保節點保持在正確鏈上並避免潛在分叉風險的方法。
據 The Block 報道,Sui 基金會於 5月 31 日發佈事故報告,披露其主網於 5月 29 日至 30 日連續發生三次宕機事件,根源均指向 v1.72 版本升級引入的兩個獨立漏洞。前兩次宕機由"地址餘額"新功能引發的 gas 費用計算錯誤所致,交易取消後資金仍被扣除,導致賬戶出現負餘額並引發驗證節點崩潰;第三次宕機則由節點重啓時觸發的隨機數生成器潛在漏洞引起,導致網絡 epoch 無法正常關閉。Sui 基金會表示,目前所有已知問題均已修復,用戶資金全程未受影響,已結算交易亦未被回滾,並計劃進一步優化容錯機制,確保未來類似漏洞僅影響單筆交易而非導致全網停機。
Zcash 基金會發布節點客戶端 Zebra 4.5.0 版本更新,本次版本包含多項安全修復,其中涉及一項共識關鍵漏洞及多項高危拒絕服務(DoS)問題,並強烈建議所有節點運營者立即升級。本次核心修復包括 P2SH 腳本解析中導致的 sigop 計數錯誤(可能引發與 zcashd 共識分叉)、NU5 區塊驗證緩存邏輯缺陷、透明地址餘額溢出崩潰風險,以及多項 RPC 接口與內存池處理中的崩潰與資源耗盡漏洞。官方指出,部分漏洞可被惡意節點利用導致節點卡死、重啓循環甚至永久停止運行。此外,該版本新增對 ZIP-213(支持屏蔽 coinbase 輸出至 Sapling)的支持,並優化網絡性能與安全邊界,包括限制未握手階段的資源分配、修復多線程隊列濫用風險,以及增強 misbehavior 評分機制。Zcash 基金會表示,本次更新共修復來自 ZCG 漏洞披露計劃(2026 年 4–5 月)中超過 80 份安全報告,涵蓋共識安全、內存管理、RPC 處理及 P2P 網絡攻擊面等多個層級。官方強調,此次升級無替代方案,升級是確保節點不發生鏈分裂與安全風險的唯一方式。
Resolv Foundation 公佈協議安全事件後的恢復方案。事前持有並被快照記錄的 USR / wstUSR 將按 1 : 1 兌換 USDC,事後獲得的 USR / wstUSR 按 1 : 0.5 兌換 USDC; RLP 持倉核心恢復爲每 1 枚 兌付 0.71 USDC ,並參考 0.03 美元價格追加 RESOLV 代幣分配。基金會稱,符合條件用戶可於 2026 年 5 月 26 日至 8 月 26 日申領恢復款。
Saturn 基金會官方於 X 發文表示,已將 Squid 黑客事件相關地址列入黑名單並凍結了被盜資金。受影響用戶可在 Saturn 官方 Discord 服務器上提交工單。Saturn 的任何合約或基礎設施均未受此次事件影響。
Compound 基金會在 X 平臺發文表示,經與 Kelp 和 Aave 團隊協調,爲避免干擾更廣泛的 DeFi 恢復工作,以太坊 WETH 和 wstETH 的 Comet 市場已恢復交易。其同時指出,根據 Kelp 解凍 rsETH 的具體時間,在與漏洞相關的頭寸清算窗口期間,相關市場仍可能進行臨時暫停,具體安排尚未確定。
Zcash 基金會官方宣佈發佈 Zebra 4.4.0 版本,此次更新修復了多項共識級關鍵安全漏洞並強烈建議所有節點運營者立即升級,包括可導致新區塊永久停止發現的拒絕服務漏洞、區塊簽名操作(sigops)計數錯誤引發的共識分歧、透明交易簽名哈希處理異常,以及內存分配放大攻擊風險等。 Zcash 基金會表示,其中部分漏洞可能導致 Zebra 節點接受被 zcashd 拒絕的區塊,從而引發鏈分叉,若不及時更新,節點可能面臨區塊發現中斷、共識分叉及資源消耗放大等風險,且目前不存在替代性緩解方案。
Berachain 基金會在 X 平臺發文警示,Wasabi Protocol 因部署者私鑰泄露引發跨鏈安全事件,已波及包括 Berachain 在內的多條區塊鏈。爲防範風險擴散,Berachain 已暫停並拉黑網絡內所有受影響的 Wasabi 獎勵金庫(Reward Vaults),立即停止向被攻破合約發放 BGT 質押獎勵,阻斷新 BGT 流入受損合約的路徑。官方要求所有曾在 Berachain 與 Wasabi 交互的用戶,必須立即撤銷對指定合約的代幣授權,避免資產被盜風險。Berachain 同時強調,原生 RewardVaults 內的 BGT 獎勵資金安全無恙,用戶可正常領取,本次事件不影響核心生態權益。
據 Aftermath Finance 官方披露,該協議預計將在未來 48 至 72 小時內完成對用戶的全額賠付,目前團隊正全力推進資金返還工作,並對用戶的耐心等待表示感謝。此前消息,永續合約協議 Aftermath Finance 於昨日遭遇漏洞攻擊,損失約 114 萬美元資金。Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。
據 Sui 官方披露,Aftermath Finance 部署於 Sui 網絡的永續合約協議遭受漏洞攻擊,相關協議已隨即暫停運行。 Sui 基金會聯合 Mysten Labs 表示,將積極協助 Aftermath Finance 推進用戶資金追回工作,並致力於保障 Aftermath 協議的持續運營。Aftermath Finance 方面將於近期就資金追回進展作進一步說明。
據鏈上分析師餘燼(@EmberCN)披露,4月 18日 rsETH 事件造成約 6.89 萬枚 ETH(約 1.6 億美元)資金缺口——黑客抵押 rsETH 借走 9.96 萬枚 ETH,扣除 Arbitrum 追回的 3.07 萬枚 ETH,剩餘資金已全部被黑客兌換爲 BTC。 目前事件進入善後階段,Aave 協調成立"DeFi United"救助基金,已獲多方累計捐款 1.35 萬枚 ETH(約 3145 萬美元),捐贈方包括 Lido Finance(2500枚 stETH)、ether.fi 基金會(5000枚 ETH)、Aave 創始人 Stani Kulechov(5000枚 ETH)、Golem Foundation(1000枚 ETH)及 LayerZero、Ink Foundation 等(金額未披露)。
據 Volo 官方公告,Sui 網絡上的 BTCFi 與 LST 協議 Volo 今日發生安全漏洞事件,約 350 萬美元資產(含 WBTC、XAUm 及 USDC)從三個特定 Vault 中被盜。事件發生後,團隊已立即通知 Sui 基金會及生態合作伙伴,並凍結全部 Vault 以阻止損失擴大。Volo 表示,此次漏洞僅涉及三個 Vault,其餘 Vault 不存在相同攻擊向量,其他約 2800 萬美元 TVL 資產安全無虞。官方強調將自行承擔本次損失,不會將損失轉嫁給用戶,並將在調查完成後發佈完整事後報告及補救方案。
Curve Finance 創始人 Michael Egorov(@newmichwill)發文指出,近期 DeFi 領域因中心化失敗點引發的安全事故頻發,嚴重損害行業形象。他以 Aave 用戶因 rsETH 遭攻擊、LayerZero 跨鏈橋被黑而無法提款爲例,強調問題應在發生前預防,而非事後補救。 他呼籲行業共同制定 DeFi 安全標準,建議以太坊基金會與 Solana 基金會牽頭,聯合各生態項目、審計機構及風險評估團隊,制定安全構建原則與規範,並可借鑑傳統金融在保護中心化節點方面的經驗。
以太坊基金會宣佈其聯合發起的 ETH Rangers 項目已完成爲期 6 個月的運行,該項目旨在資助爲以太坊生態提供公共安全貢獻的獨立研究者,17 名資助對象在漏洞研究、安全工具開發、威脅情報與事件響應等方面取得多項成果,包括:累計追回或凍結資金超 580 萬美元、報告或記錄 785+漏洞與客戶端問題、識別約 100 名攻擊人員、覆蓋超 20.9 萬用戶的安全教育內容,以及處理 36+安全事件。 此外,該項目還推動了 800+團隊參與安全挑戰、產出 80+場技術分享與培訓,並開發或改進 7 個以上開源安全工具,以太坊基金會表示相關成果表明去中心化網絡需要“去中心化防禦”並有效增強以太坊生態整體安全性與韌性。