安全事件

据 Foresight News 称，Huma Finance 的 legacy v1 合约部署在 Polygon 上，今天遭到攻击者利用，导致损失 101,400 USDC。该协议表示用户资金不受影响，且其 PST 代币未受影响。部署在 Solana 上的 v2 系统是一次完整重建，不存在此漏洞。Huma Finance 已完全暂停 v1 运营，正如其此前计划的那样将逐步关闭 legacy 流动性池。

据 Odaily 称，交易员 A（@missoralways）表示，他们连接到 Sigma 的两个钱包最近被清空，这是他们在 6 个月内遭遇的第二次钱包被盗。该交易员称，他们此前在 Sigma 中存放过七位数资产且没有任何安全问题，但两次被清空都发生在钱包余额低于 $10,000 的情况下。此外，另一名用户在类似情况下大约损失了 $200,000 的资产。Sigma 团队已启动对这些事件的调查。

根据 Arkham Intelligence 的说法，5 月 11 日，这家区块链分析平台发布了一份报告，称 2025 年的加密货币犯罪损失中，投资欺诈占比为 49%。报告援引 FBI Internet Crime Complaint Center 的数据称，2025 年美国境内与加密货币相关的犯罪损失超过 110 亿美元。报告指出，数字资产犯罪如今已涵盖多种形式，包括投资诈骗、洗钱、勒索软件、规避制裁和资助恐怖主义，其中更复杂的“恋爱+投资”组合诈骗正推动了巨额损失。

据 SlowMist 的安全监控系统 MistEye 称，一款恶意 Chrome MV3 扩展正在利用网络钓鱼攻击 TRON 钱包用户，目的是窃取助记词、私钥、密钥库文件和密码。该扩展使用 Unicode 混淆和品牌冒充来伪装成官方插件，然后在安装后加载远程 iframe 弹窗页面，诱骗用户输入敏感信息，并通过 Telegram Bot 进行传输。 恶意基础设施包含域名 tronfind-api.tronfindexplorer.com 和 trx-scan-explorer.org。该扩展的 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展，并在已提交敏感信息的情况下迁移资产。

据 ChainCatcher 称，Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 于几分钟前遭到攻击，损失约为 14 万美元。

据 PeckShield 监控，TrustedVolumes 攻击者截至 5 月 11 日已转移并洗白了 27.8 万美元的被盗资金。攻击者向 Tornado Cash 存入了 10.2 ETH（2.36 万美元），通过 THORChain 将 110 ETH（25 万美元）兑换为比特币，并在尝试向 Railgun 存入 0.5 ETH 后又撤回。TrustedVolumes 在 5 月 7 日的攻击中遭受了约 670 万美元的总损失。

据新南威尔士州警方称，警方在 5 月 4 日于悉尼西南部英格尔本（Ingleburn）的一次突袭中查获了价值约 570 万澳元的 52.3 比特币，这是警方所描述的澳大利亚最大加密货币查缴行动之一。该行动属于“安达卢西亚行动小组”（Strike Force Andalusia），这是在 2024 年 9 月启动的调查，针对与被禁止毒品销售相关的暗网市场活动的涉嫌行为。 调查之后，两名男子被提控：一名 39 岁的英格尔本居民面临多项指控，包括处理犯罪所得超过 500 万澳元、供应被禁止毒品，以及未能遵守一项数字证据获取令；另一名 41 岁男子则因涉嫌进行超过 10 万澳元的加密货币转账而被指控。两案目前仍在法院审理中。警方使用区块链追踪和数字取证，以将加密货币交易与嫌疑人联系起来。

美国纽约南区联邦地区法院法官 Margaret Garnett 在周五部分解除了自 5 月 1 日以来被冻结的 30,766 ETH，允许发起一项链上治理投票，将这些资产转移至 Aave。该修改允许代表在不违反限制令通知的情况下启动并对该交易进行投票。然而，如果恐怖主义判决债权人最终在其主张中胜诉，即认为该 ETH 符合《外国主权豁免法》和《恐怖主义风险保险法》中所界定的朝鲜财产，那么资金仍将继续被冻结。Arbitrum 的代表在周四投票批准该释放行动，有 1.822 亿 ARB 代币支持该举措，赞成的投票权约为 91%。

据 Edaily 报道，韩国金融安全院（FSI）今日宣布正在开发一款专用的智能合约安全验证工具，并推进三项主要举措，包括构建智能合约验证系统以及数字资产人才培养。该验证工具将自动检测用于代币证券、稳定币以及其他数字资产服务的智能合约中的重大漏洞，重点关注再入攻击、访问控制错误以及抵押品验证不足等高风险漏洞类型。该工具将持续更新与韩国金融监管环境相匹配的定制检查标准。FSI 还将建立覆盖整个智能合约生命周期的验证流程和标准，从开发到部署及运营，并为成员公司发布《智能合约安全指南》。

根据 Foresight News，Wagyu 开发者 PerpetualCow 澄清，XMR1 代币持有者可以通过 Terminal 而非传统跨链 UI 提款，否认近期 Rug Pull（疑似拉地毯）指控。开发者表示，没有用户报告提款失败，且兑换界面已明确标注正确的提款方式。社区成员此前曾提出担忧，称 Wagyu 类似 Rug Pull，XMR 存款可能被锁定，并且存在 Honeypot 指示器。XMR1 是 Wagyu 在 Hyperliquid 上发行的合成 XMR 代币。

据 Cryptopolitan 于 5 月 11 日报道，微软 Defender 安全研究团队公布调查结果，发现攻击者自 2025 年底起在 Medium、Craft 等平台上发布虚假 macOS 故障排除指南，诱导用户在终端中执行恶意命令，从而安装恶意软件窃取加密钱包金钥、iCloud 数据及浏览器存储密码。 攻击机制：ClickFix 绕过 macOS Gatekeeper 根据微软 Defender 安全研究团队报告，攻击者采用名为 ClickFix 的社会工程技术：在 Medium、Craft 及 Squarespace 等平台上发布伪装为释放磁盘空间或修复系统错误的 macOS 故障排除指南，引导用户复制恶意命令并贴入 macOS Terminal，命令执行后即自动下载并启动恶意软件。 根据微软报告，此手法绕过 macOS Gatekeeper 安全机制，原因在于 Gatekeeper 针对通过 Finder 打开的应用程序执行代码签章与公证验证，但用户直接在 Terminal 中执行命令的方式不受此验证步骤约束。研究人员同时发现，攻击者利用 curl、osascript 及

根据 Renegade 在 X 上的官方声明，该协议的旧版 V1 Arbitrum 部署于今早（5 月 11 日）遭到攻击，造成约 209,000 美元的损失。白帽黑客已归还约 190,000 美元，团队确认所有受影响用户都将获得全额补偿。 团队确认，该漏洞仅存在于 V1 Arbitrum 部署中；V1 Base、V2 Arbitrum 和 V2 Base 部署仍然安全。为支持 V1 Arbitrum 交易的所有基础设施已暂停运行，从而消除了进一步的资金风险。

据 Foresight News 称，USDT0，Tether 的资产互操作协议，在 Kelp 事件之后公布了安全架构细节。该协议采用自有的去中心化验证者网络（DVN），具备消息否决权，并要求基于不同代码库的三个独立验证者达成 3/3 共识，只有在跨链消息结算前方可完成。目前的验证者节点包括 USDT0 自有的 DVN、LayerZero 和 Canary。USDT0 还在 Immunefi 上启动了 600 万美元的漏洞赏金计划，合约已由 Guardian 和 OpenZeppelin 进行审计。

根据微软安全研究团队的说法，自 2025 年底以来，攻击者一直在包括 Medium、Craft 和 Squarespace 在内的平台上分发伪造的 macOS 故障排除指南，以诱骗用户运行恶意终端命令。这些命令会下载并执行旨在从 Exodus、Ledger 和 Trezor 窃取加密货币钱包密钥的恶意软件，并窃取 iCloud 数据以及 Chrome 和 Firefox 中保存的密码。 涉及的恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。在某些情况下，攻击者还会删除合法的钱包应用，并用被木马化的版本替换。苹果已在 macOS 26.4 中添加保护措施，以阻止粘贴可能具有恶意的命令。

据 LayerZero 称，该协议于周五就其 4 月 18 日发生的漏洞处理问题发布了公开道歉。该漏洞从 Kelp DAO 的跨链桥中抽走了 2.92 亿美元 rsETH，标志着其此前事后分析文章在语气上的显著转变。LayerZero 承认，其去中心化验证器网络（Decentralized Verifier Network，DVN）不应当充当高价值交易的唯一验证器，并表示：“我们允许我们的 DVN 作为高价值交易的 1/1 DVN，这是我们的错误。”公司透露，朝鲜的 Lazarus Group 在同时向外部服务商发起 DDoS 攻击的过程中，已经攻破了其内部 RPC 节点，迫使 DVN 依赖被投毒的基础设施。 LayerZero 列出了整改步骤：其 DVN 将不再服务 1/1 配置；默认设置正在迁移为在可能的情况下至少需要五名验证器；公司计划使用 OneSig 将其 multisig 阈值从 3-of-5 升级到 7-of-10。此次漏洞影响了网络中约 0.14% 的应用以及全部资产的 0.36%，自 4 月 19 日以来，已有超过 90 亿美元的资金通过该协议发生了跨链转移。

根据 LayerZero 周五在其官方博客文章中发布的消息，该协议就其对 4 月 18 日漏洞的处理发出公开道歉，该漏洞从 Kelp DAO 的跨链桥中耗尽了 2.92 亿美元的 rsETH。LayerZero 承认其错误在于允许其去中心化验证者网络（Decentralized Verifier Network）充当高价值交易的唯一验证者，从而推翻了此前将责任归咎于 Kelp DAO 配置选择的立场。 针对此次事件，LayerZero 表示它将不再为 1/1 DVN 配置提供服务，并在可能的情况下将默认设置迁移为至少需要五名验证者。道歉发布之际，Kelp DAO 和 Solv Protocol 已将其跨链基础设施迁移至 Chainlink 的 CCIP，并称出于安全方面的担忧。

加密安全公司 CertiK 估计，根据该公司的分析，截至 2026 年前四个月，遭受“撬锁攻击”的加密货币持有者已损失约 1.01 亿美元。如果这种趋势按此速度持续，那么这相当于 2026 年全年损失数亿美元。 撬锁攻击——这是网络安全中用于指代通过克服软件安全系统的方式来实施的针对实体的袭击和勒索企图的术语——已成为“加密货币持有者的一个成熟威胁路径”，CertiK 写道。专家将 2025 年认定为有记录以来加密相关撬锁攻击最活跃的一年，报告约有 70 起针对实体的袭击，尽管由于此类犯罪的性质，这些事件中的许多可能未被上报。 2026 年攻击激增与地域集中 CertiK 报告称，2026 年前几个月全球共发生 34 起已验证的撬锁攻击事件，比 2025 年同期增加了 41%。若外推到全年，预计将达到 130 起事件，以及数亿美元的预测损失。 从地域来看，34 起攻击中的 28 起（82%）发生在欧洲。与此同时，根据 CertiK 的说法，2026 年第一季度美国的已报告威胁降至 3 起，而 2025 年为 9 起；在亚洲，已报告威胁则从 25 起降至 2 起。 法国作为主要目标 法国

据 The Block 报道，LayerZero 于周五就其对 4 月 18 日漏洞的处理发出公开道歉。该漏洞从 Kelp DAO 的跨链桥中盗走了约 2.92 亿美元的 rsETH。该协议承认其错误在于允许其去中心化验证者网络（Decentralized Verifier Network，DVN）作为高价值交易的唯一验证者，从而推翻了其先前的立场，即将责任归咎于 Kelp DAO 的配置选择。 LayerZero 宣布了多项整改措施：LayerZero Labs DVN 不再为 1/1 DVN 配置提供服务；默认设置正在迁移，以在可能的情况下至少需要五个验证者，最低为三个；公司还将其 multisig 阈值从 3-of-5 提高到 7-of-10。该协议还披露了一起此前未报道的运营安全事件，距今 3.5 年前，涉及一名 multisig 签署者将生产硬件误用于个人交易。LayerZero 表示，该漏洞影响了网络上约 0.14% 的全部应用。

据 CertiK 称，加密“撬锁”攻击受害者在 2026 年前四个月损失了约 1.01 亿美元，预计全年将达到数亿美元的规模。该安全公司核实了全球 34 起事件，比 2025 年同一时期增长 41%，其中 82% 集中在欧洲。 值得注意的是，经过核实的事件中有超过一半涉及主要目标的家庭成员，包括配偶、子女或年迈的父母，既可能是直接受害者，也可能被用作筹码。CertiK 指出，攻击者越来越多地采用数据驱动的定向方法，从在线经纪商处购买受害者信息，以降低对实体监控的依赖。

根据 ChainCatcher，Tether 的 USDT0 协议在 Kelp 事件之后公布了其安全架构，采用 3/3 验证共识机制，要求使用三个独立的验证者，且使用不同的代码库。目前的验证节点包括 USDT0 的专有 DVN、LayerZero 和 Canary。该协议在 Immunefi 上宣布了 600 万美元的漏洞赏金计划，所有多重签名交易都需要由内部团队、外部安全公司和审计人员进行审查。合约已由 Guardian 和 OpenZeppelin 进行审计。