黑客攻擊

ChainCatcher 消息，据 Arkham 監測，Kyber Network 黑客正在將被盜資金轉移至 Tornado Cash。該黑客 Andean Medjedovic 曾於 2023 年末從 KyberSwap 竊取 4,880 萬美元資金，此前還曾攻擊 Indexed Finance 並竊取 1,650 萬美元。其已於 2025 年遭 FBI 起訴。

ChainCatcher 消息，去中心化預測市場平台 Polymarket 疑遭黑客入侵，威脅行為者 xorcat 在一知名網絡犯罪論壇發布了逾 30 萬條數據記錄及配套漏洞利用工具包。據稱，攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括：1 萬個用戶完整個人信息（含姓名、代理錢包及基礎地址）、4111 條評論、1000 條舉報記錄（含 58 個 ETH 地址及管理員認證地址標識）、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址，以及 9000 個關注者社交圖譜數據。工具包中包含多個漏洞的概念驗證代碼，涉及 CVE-2025-62718（Axios NO_PROXY 繞過，CVSS 9.9，可觸發服務端請求偽造）、CVE-2024-51479（Next.js 中間件認證繞過，CVSS 7.5）及 CORS 錯誤配置等。此外，工具包還附有自動化持續拉取腳本及完整紅隊報告。

ChainCatcher 消息，据 CertiK 高級區塊鏈調查員 Natalie Newson 表示，即時深度偽造、網絡釣魚、供應鏈攻擊及跨鏈漏洞將是加密黑客攻擊的主要根源。迄今行業已因黑客攻擊損失逾 6 億美元，其中包括發生的 Kelp DAO 2.93 億美元漏洞事件及 Drift Protocol 2.8 億美元被盜事件，兩起事件均與朝鮮黑客組織有關。Newson 警告稱，AI 加速發展將使攻擊手段更加複雜，包括更逼真的深度偽造、自主攻擊代理及可自動掃描智能合約漏洞的 "代理 AI"，但 AI 同時也可作為防禦工具。CertiK 建議投資者核實 URL 真實性、使用冷錢包存儲資產以降低風險。

ChainCatcher 消息，彭博社援引 Jefferies LLC 報告稱，上週末一場從小型加密項目中抽走近 3 億美元的黑客攻擊，以及由此引發的最大去中心化借貸平台 100 億美元資金擠兌事件，可能會減緩華爾街對區塊鏈技術的興趣。Jefferies 數字資產研究團隊分析師 Andrew Moss 指出，銀行、資產管理公司和支付機構過去一年一直在開發與此次被朝鮮黑客利用的技術系統類似的區塊鏈產品。雖然報告認為此次事件不太可能波及傳統金融市場，但警告稱，傳統金融機構可能會因此暫停腳步，並在進一步推進區塊鏈業務前重新評估相關風險。

ChainCatcher 消息，据 Volo 官方公告，Sui 網絡上的 BTCFi 與 LST 協議 Volo 發生安全漏洞事件，約 350 萬美元資產（含 WBTC、XAUm 及 USDC）從三個特定 Vault 中被盜。事件發生後，團隊已立即通知 Sui 基金會及生態合作夥伴，並凍結全部 Vault 以阻止損失擴大。Volo 表示，此次漏洞僅涉及三個 Vault，其餘 Vault 不存在相同攻擊向量，其他約 2800 萬美元 TVL 資產安全無虞。官方強調將自行承擔本次損失，不會將損失轉嫁給用戶，並將在調查完成後發布完整事後報告及補救方案。

ChainCatcher 消息，Curve 創始人 Michael Egorov 發文稱，近期 DeFi 中大量本可避免的安全事件，根源在於中心化單點故障，這正在損害整個行業。他以 Aave 與 rsETH 事件為例表示，相關問題應在事故發生前被預防，而非事後補救。他呼籲行業共同制定 DeFi 安全標準，減少單點故障，並讓項方、審計機構與風險評估團隊共享最佳實踐；其還建議可由以太坊基金會與 Solana 基金會協調生態參與制定安全原則與規則。

ChainCatcher 消息，鏈上數據顯示，Kelp DAO 基於 LayerZero 的 rsETH 橋接協議疑似遭黑客利用，損失 116,500 個 rsETH，價值約 2.92 億美元。Kelp DAO 官方表示，已發現涉及 rsETH 的可疑跨鏈活動，現已暫停主網和多個 Layer2 上的 rsETH 合約，正在與安全專家合作，後續將通報最新情況。

ChainCatcher 消息，据 RHEA Finance 官方披露，NEAR 生態借貸協議 RHEA Finance（前身為 Burrow Finance）保證金交易功能遭到黑客攻擊，損失約 1840 萬美元。攻擊者於事前數日開始佈局，通過在 Ref Finance 上創建多個假代幣池並注入流動性，構建惡意交換路由，利用協議滑點保護機制漏洞------該機制在計算多步驟交換的最小輸出時未考慮中間代幣被重複使用的情形------致使借出的債務代幣被導入攻擊者控制的假代幣池，觸發大規模強制清算，最終耗盡協議儲備池。攻擊期間，攻擊者共刪除 55 個中間帳戶以掩蓋蹤跡。目前，攻擊者已向 RHEA 借貸合約歸還約 335.9 萬枚 USDC 及 156.4 萬枚 NEAR，另有 434 萬枚 USDT 遭凍結（其中 Tether 凍結 329.1 萬枚，NEAR Intents 凍結 105.3 萬枚）。協議合約已暫停運行，團隊正與中心化交易所展開聯合追蹤，並已通知相關執法機構。

ChainCatcher消息，据 Cointelegraph 報導，自 4 月 1 日 Drift Protocol 遭受 2.8 億美元攻擊以來，短短兩週多時間裡，至少有 12 個 DeFi 協議和加密貨幣企業遭到攻擊。自 4 月初以來，針對加密協議或公司的攻擊包括 CoW Swap、Hyperbridge、Bybit、Dango、Silo Finance、BSC TMM、Aethir、MONA、Zerion，以及最近的 Rhea Finance 和 Grinex 交易所。其中，DeFi 協議 Rhea Finance 報告稱，攻擊者"利用 Rhea 保證金交易功能中的一個漏洞執行了一次協同資金池操縱攻擊"，影響了 Rhea Lend 智能合約。據區塊鏈安全公司 CertiK 稱，被盜資金約有 760 萬美元。

ChainCatcher 消息，針對近期發生的"ListaDAOLiquidStakingVault"合約被攻擊事件，ListaDAO 官方發布聲明澄清，該被攻擊合約並非官方部署，而是由未經驗證的第三方使用相似名稱創建的仿冒合約。ListaDAO 的官方合約均未受到該事件影響。據 GoPlus 安全團隊深入分析，此次攻擊發生在 2026 年 4 月 16 日，根本原因在於該第三方合約存在業務邏輯缺陷。當進行代幣轉帳時，會觸發 Dividend.setShares() 函數並改變合約內的份額記帳，進而影響了 claimReward() 函數中的獎勵計算。攻擊者正是利用這一漏洞耗盡了該合約內的資產。GoPlus 提醒，由於該邏輯漏洞同時存在於上述兩段合約代碼中，任何分叉或復用該代碼的開發項目均面臨高被利用風險。建議相關開發者及時進行代碼排查與修復，並引入持續審計機制以保障智能合約安全。

ChainCatcher 消息，加密 ATM 營運商 Bitcoin Depot 披露，其在一次網絡安全事件中損失約 50.9 枚比特幣，按當前價格約合 370 萬美元。根據提交給美國證券交易委員會（SEC）的文件，此次攻擊發生於 3 月 23 日，黑客獲取了與公司企業級比特幣錢包相關的憑證，從而入侵部分內部系統，Bitcoin Depot 公司表示，客戶帳戶、平台及個人數據未受到影響。

ChainCatcher 消息，据市場消息，比特幣 ATM 營運商 Bitcoin Depot 向美國 SEC 提交文件披露，公司遭遇網絡安全攻擊，黑客通過入侵 IT 系統獲取數字資產結算賬戶憑證，從公司錢包竊取約 50.9 枚 BTC，價值約 366.5 萬美元。事件發生後，公司已啟動應急響應程序，聘請外部網絡安全專家介入調查，並通知執法部門。公司表示，客戶平台及用戶數據未受影響。此次事件被公司列為重大事項，或引發聲譽損失及法律、監管等額外成本。

ChainCatcher 消息，据派盾監測，曾竊取 2.85 億美元加密貨幣的 Drift Protocol 黑客在 Solana 網絡上向 ChangeNow 轉移 185 枚 SOL，價值 1.5 萬美元。

ChainCatcher 消息，鏈上偵探 ZachXBT 發布一份針對 Circle 的調查報告，稱自 2022 年以來，該公司在多起涉及非法資金的事件中存在"合規執行不力"的問題，累計涉及金額超過 4.2 億美元。報告指出，Circle 作為 USDC 的發行方，一直以受監管、合規體系完善著稱，其代幣合約也具備凍結和拉黑地址的功能，並在服務條款中明確保留對可疑帳戶進行限制的權利。然而在多起重大安全事件中，這些機制並未被及時有效地使用。報告重點提及 2026 年 4 月 1 日的 Drift Protocol 被攻擊事件，約 2.8 億美元資產被盜，攻擊者通過 Circle 自有跨鏈橋 CCTP，在 6 小時內將超過 2.32 億 USDC 從 Solana 轉移至 Ethereum，但期間未有任何資產被凍結。類似情況還出現在 SwapNet、Cetus Protocol 以及 Mango Markets 等攻擊事件中，部分案例中即便執法機構和行業專家已發出凍結請求，Circle 仍未及時採取行動，甚至在資產已被轉移後才進行處理。此外，報告還指出，在涉及黑客組織 Lazarus Group 的資金洗錢調查中，Circle 相較於其他穩定幣發行方（如 Tether、Paxos 等）反應明顯滯後。在部分案例中，凍結操作延遲長達數月。類似的延遲也出現在 Ledger 供應鏈攻擊以及 GMX 被攻擊事件中，USDC 在可疑地址停留數小時甚至更久，仍未被凍結。ZachXBT 在報告中表示，此次披露並非否定 Circle 的產品或穩定幣本身價值，但強調其合規執行上的決策已對行業造成"真實且重大的損失"。他指出，過去三年中，由於多次未及時採取行動，DeFi 生態累計損失達九位數美元，而 4.2 億美元僅為公開案例的保守統計，實際規模可能更高。

ChainCatcher 消息，据 DefiLlama 資料顯示，2026 年第一季度，黑客共從 34 個去中心化金融（DeFi）協議中竊取逾 1.686 億美元加密資產，較 2025 年同期的 15.8 億美元大幅下降，彼時的高額損失主要源於 Bybit 14 億美元被盜事件。本季度最大單起攻擊為 1 月發生的 Step Finance 私鑰洩露事件，損失約 4000 萬美元；其次為 1 月 8 日 Truebit 遭智能合約漏洞攻擊，損失 2640 萬美元以太坊；第三為 3 月 21 日穩定幣發行商 Resolv Labs 私鑰被盜事件。