同时关联该项目与事件的快讯
据链上安全机构 CertiK(@CertiKAlert)监测,Gravity Bridge 攻击者近日再度向 Tornado Cash 存入 1180枚 ETH(约 206 万美元)。 此前于 5月 30 日,攻击者通过伪造 Osmosis 代币字符串、利用 permissionless deployERC20()函数篡改代币注册表,将虚假余额映射至真实托管资产,从而从 Gravity Bridge 盗取约 2600枚 ETH(约 540 万美元)。目前,被盗资产中 2020枚 ETH 已通过两个 EOA 地址转入 Tornado Cash,其余部分已分散转移至中心化交易所,资金追回难度较大。
据链上分析师 PeckShield(@PeckShieldAlert)监测,约 19 小时前,BNB Chain 上的 TesseraDao(@TesseraDao)遭受攻击,黑客恶意铸造 9900 万枚 TSR 并随即抛售,导致 TSR 价格暴跌 99%。攻击者随后将所得 TSR 兑换为约 250 万美元 USDT,并将资金跨链转移至以太坊,目前已通过 TornadoCash 完成 1,285.5 枚 ETH 的洗钱操作。
据 The Block 报道,DeFi 借贷协议 Radiant Capital 宣布将正式关闭运营。该协议于 2024 年 10 月遭遇黑客攻击,损失约 5100 万美元,攻击者通过在 Arbitrum 和 BNB Chain 上部署后门合约获取未授权访问权限。此前,该协议在 2024 年初还曾遭受闪电贷攻击,损失约 1900 枚 ETH(约 450 万美元)。 经过 18 个月的恢复尝试,Radiant Capital 表示既未能追回大量被盗资金,也未能成功融资,"DAO 已无可行的前进路径"。目前协议将进入"维护状态",前端及智能合约保持可访问,用户仍可进行提款、还款及仓位管理操作,若后续追回任何资金将返还给受影响用户。
据 The Block 报道,安全研究员 Florent 利用白帽漏洞成功解锁了 2016年 HongCoin ICO 合约中被锁定近十年的约 1,003枚 ETH(价值约 200 万美元)。该合约因旧版 Solidity 语言缺乏溢出保护,导致退款功能长期失效。Florent与 HongCoin 团队合作,通过管理员函数重置持仓余额完成解锁,整个过程历时约一周。目前 48 名原始投资者可申领解冻资金,已有两人共领取 96.5枚 ETH,并自愿向 Florent 支付白帽奖励。Florent 表示,此次解锁纯属技术探索,未收取任何费用或佣金。
Aave 发布 4 月 18 日 rsETH 事件事后调查称,流动性质押协议 Kelp 的 rsETH LayerZero V2 跨链桥在 Unichain 至 Ethereum 跨链过程中接受伪造消息,导致 Ethereum 侧适配器释放 11.65 万枚 rsETH,而 Unichain 侧未发生对应销毁。Aave 表示,攻击发生于第三方跨链桥基础设施,但攻击者将被盗 rsETH 存入 8 个 Aave V3 仓位,并借出 8.265 万枚 WETH 和 821 枚 wstETH,导致 Aave 市场受影响。Aave 称,目前攻击者在 Arbitrum 上的 rsETH 已被销毁,LayerZero OFT 适配器已分 5 批补入 11.613172 万枚 rsETH,rsETH 资产支持已完全恢复,受影响 WETH 与 rsETH 市场已恢复正常。
Blockaid 在 X 平台发文披露,Alephium TokenBridge 以太坊跨链桥遭遇攻击。攻击者通过控制 4 个 Guardian 密钥中的 3 个,伪造 VAA(验证授权消息)并在约 7 分钟内完成攻击,共窃取约 81.5 万美元资产。攻击过程中,攻击者凭空铸造 1376 万枚封装 ALPH(Wrapped ALPH),超过攻击前流通供应量的 100%,同时从托管池中解锁并转出 USDT、USDC、WBTC 和 WETH 等资产。目前,攻击者地址仍持有约 81.5 万美元被盗资产及 1376 万枚无抵押支持的封装 ALPH,其中最大一笔异常交易为凭空铸造 1376 万枚封装 ALPH。
SUPERFORTUNE AI 发布 24 小时调查更新称, 5 月 27 日 GUA 安全事件并非此前怀疑的地址污染,而是多签签名者私钥遭泄露。攻击者随后伪造了指向恶意地址的有效签名,并利用与正确地址前 4 位和后 4 位相同的“靓号地址”特征误导其余签名者在 Safe 界面完成签署。
据链上分析师 PeckShield(@PeckShieldAlert)监测,Arbitrum 网络上的 StakeDAO(@StakeDAOHQ)遭遇无限铸造漏洞攻击,攻击者共铸造 5.4 万亿枚 vsdCRV,随后将部分代币兑换为 43.781 枚 ETH(约 9.12 万美元),并将资金跨链桥接至以太坊地址 0xeF3C...aa25。
链上数据显示,StakeDAO 部署者私钥在 Arbitrum 上遭泄露,攻击者铸造约 5.45 万亿枚 vsdCRV 部分兑换为 43.7 枚 ETH。
据 Cointelegraph 报道,Google 搜索中出现假冒去中心化交易协议 Uniswap 的钓鱼广告,已使攻击者至少获利 40 万美元。链上分析师b-block表示,相关仿冒网站正从多个钱包中转走资金,涉事地址目前合计持有 146 枚 ETH,按发稿时约值 30.6 万美元。Security Alliance( SEAL )称,此类 Google 假广告是常见钓鱼攻击来源,攻击者会通过付费投放或入侵合法广告账户,在搜索赞助结果中冒充热门加密协议。SEAL 还表示, 3 月 13 日至 30 日期间,此类攻击共造成 127 万美元损失。
慢雾创始人余弦在 X 平台发文解读 Squid 安全事件,他表示抽样发现相关 Safe 钱包都是单签,owner 也都不一样,但问题不在私钥,问题在这些 Safe 地址用到的如图模块(SquidRouterModule)存在漏洞,攻击者可以伪造消息,轻易绕过相关验证,发起后续的兑换操作,将目标 Safe 钱包里的资金转移走,此外余弦还公布了攻击者获利沉淀地址信息。此前消息,某第三方 Gnosis Safe 模块在 Base 和以太坊上被利用,造成约 320 万美元损失,受害者为将该合约添加为受信任 Safe Module 的86个 Gnosis Safe。该合约在 Basescan 上名为 “SquidRouterModule”,随后 Squid 澄清未受 Gnosis Safe 相关漏洞事件影响。
Squid在 X 平台发文表示,此次事件与 Squid 核心协议及合约无关,所有 Squid 用户及集成方均未受影响,无需采取任何行动。今日 Base 与 Ethereum 网络上一个第三方 Gnosis Safe 模块遭到攻击,损失约 320 万美元。该漏洞合约在 Basescan 上验证名称为"SquidRouterModule",但该合约并非由 Squid 构建、部署或运营,而是一个选择集成 Squid 及其他协议的第三方智能钱包产品,且与 Squid 无联系。攻击原理为该第三方模块接受调用者提供的常量字符串作为消息安全证明,该字符串在已验证合约代码中公开可见,攻击者输入后即可执行任意 calldata 数组,随意窃取资金。受害者的 Safe 钱包将该问题合约添加为受信任 Safe Module,使该合约无需签名即可支配 Safe 内任意代币。Squid 自有路由合约 (0xce16...D666) 架构不同,未受影响,Squid 用户资金、授权及集成均完全安全。早期公开报道或因 Basescan 上的合约验证名称提及"SquidRouter",准确表述应为:第三方 SquidRouterModule 遭攻击,而非 Squid 的 Router 合约。该合约名称与 Squid 相同,但非 Squid 代码。Squid 正持续监控事态,如有重大变化将更新信息。
据 Blockaid 监测,其检测到针对以太坊与 Base 链上 SquidRouter 模块的持续攻击。约 2 小时内,86 个 Gnosis Safe 钱包被盗取约 300 万美元资产,所有被盗代币均通过攻击者控制的 Uniswap V3 池兑换为 DAI。
据 PeckShield 监测,以太坊上的 WUSD/GLOVE 遭到攻击,损失约 20.7 万美元。攻击者已将被盗资产兑换为约 98 枚 ETH 并存入 Railgun。
多位区块链与后量子密码学研究人员警告称,人工智能(AI)正在加速量子计算发展进程,并可能提前冲击包括比特币和以太坊在内的主流区块链安全体系。专注于抗量子基础设施的 Project Eleven CEO Alex Pruden 表示,AI 与量子计算的结合正彻底改变未来安全格局,“人们将无法再像过去那样依赖既有安全假设”。研究人员指出,AI 已被用于优化量子纠错,而量子纠错正是量子计算发展中的关键技术瓶颈之一。Illia Polosukhin 也表示,AI 多年来一直在加速科研突破,未来甚至可能出现“AI 帮助构建下一代量子计算机”的循环加速效应。当前行业最担忧的问题之一是“Harvest Now, Decrypt Later(先收集、后解密)”策略,即政府或高级攻击者现在便开始大规模收集加密数据,等待未来量子计算成熟后统一破解。Polosukhin 警告称,如果量子计算机在数年内成熟,“今天互联网上的大部分重要数据都可能在未来被解密”。由于当前多数区块链网络与互联网基础设施广泛采用椭圆曲线密码学(ECC),理论上,一台足够强大的量子计算机可通过公钥反推出私钥,从而直接攻破钱包与链上系统。与此同时,AI 本身也正在强化黑客攻击能力。Pruden 表示,AI 模型已越来越擅长发现软件漏洞、密码学实现缺陷,甚至未来可能直接破解部分加密算法。不过,AI 同时也被开发者用于代码审计、形式化验证与后量子安全系统测试,形成攻防两端同步升级的“长期安全军备竞赛”。研究人员认为,AI 与量子计算共同带来的最大变化在于:数字时代“加密长期可靠”的核心假设正在被动摇,未来安全体系或将从“静态升级”转向持续动态演进。(CoinDesk)
稳定币发行方 StablR 遭遇持续攻击,导致其欧元稳定币 EURR 与美元稳定币 USDR 发生脱锚。区块链安全公司 Blockaid 表示,攻击者疑似通过获取铸币多签账户中一名所有者的私钥控制权限,在仅需 1/3 签名的机制下替换其他管理员,并额外铸造 835 万枚 USDR 及 450 万枚 EURR。随后,攻击者在 DEX 上将价值约 1040 万美元的代币兑换为约 1115 枚 ETH,实际获利约 280 万美元。受事件影响,EURR 一度跌至 0.88 美元附近,USDR 跌至 0.7 美元附近。Blockaid 指出,此次事件并非智能合约漏洞,而是密钥管理及治理机制失效所致。(Cointelegraph)
据链上分析师 PeckShield(@PeckShieldAlert)监测,VerusCoin 跨链桥攻击者已将 4,052.4枚 ETH(约 850 万美元)归还至项目团队地址(0xF9AB...C1A74),占被盗总额的 75%,剩余 25%(1,350枚 ETH,约 280 万美元)作为白帽赏金留存于攻击者钱包。
据 Specter Analyst 监测,一名在 Kraken 和 Coinbase 交易平台持有大额资产的高净值投资者遭遇疑似人身胁迫袭击,损失各类资产共计约 670 万美元。攻击者从该用户的 Kraken 账户中提取了 1554 枚 ETH(约合 330 万美元)和 10.5 枚 BTC。同时,攻击者还突破了其 Coinbase 的防御,提取了 34.1 枚 cbBTC。随后,攻击者将超过 530 万美元的被盗资金直接存入隐私协议 Tornado Cash 以隐匿交易路径。(financefeeds)
Syndicate Labs 表示,在开发用于可定制以太坊 Rollup 和测序器的链上基础设施五年后,由于 Rollup 市场急剧缩水,公司决定关闭。Syndicate Labs 曾于 2021 年完成由 Andreessen Horowitz 领投的 2000 万美元 A 轮融资。该决定使 SYND 代币价格在过去三小时内下跌 21%,触及 0.012 美元的历史新低,较 2025 年 9 月 2.61 美元的峰值下跌 99.5%。此外,Syndicate Labs 表示,Syndicate Network Collective 独立于 Syndicate Labs,因此 SYND 代币治理不会立即受到影响,且关闭决定未受到此前桥接资产被黑客攻击事件的影响。
据 CertiK 监测,跨链聚合协议 Transit Finance 攻击者已向 Tornado Cash 存入 832.9 枚 ETH,价值约 180 万美元。