同時關聯該項目與事件的快訊
據鏈上安全機構 CertiK(@CertiKAlert)監測,Gravity Bridge 攻擊者近日再度向 Tornado Cash 存入 1180枚 ETH(約 206 萬美元)。 此前於 5月 30 日,攻擊者通過僞造 Osmosis 代幣字符串、利用 permissionless deployERC20()函數篡改代幣註冊表,將虛假餘額映射至真實託管資產,從而從 Gravity Bridge 盜取約 2600枚 ETH(約 540 萬美元)。目前,被盜資產中 2020枚 ETH 已通過兩個 EOA 地址轉入 Tornado Cash,其餘部分已分散轉移至中心化交易所,資金追回難度較大。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,約 19 小時前,BNB Chain 上的 TesseraDao(@TesseraDao)遭受攻擊,黑客惡意鑄造 9900 萬枚 TSR 並隨即拋售,導致 TSR 價格暴跌 99%。攻擊者隨後將所得 TSR 兌換爲約 250 萬美元 USDT,並將資金跨鏈轉移至以太坊,目前已通過 TornadoCash 完成 1,285.5 枚 ETH 的洗錢操作。
據 The Block 報道,DeFi 借貸協議 Radiant Capital 宣佈將正式關閉運營。該協議於 2024 年 10 月遭遇黑客攻擊,損失約 5100 萬美元,攻擊者通過在 Arbitrum 和 BNB Chain 上部署後門合約獲取未授權訪問權限。此前,該協議在 2024 年初還曾遭受閃電貸攻擊,損失約 1900 枚 ETH(約 450 萬美元)。 經過 18 個月的恢復嘗試,Radiant Capital 表示既未能追回大量被盜資金,也未能成功融資,"DAO 已無可行的前進路徑"。目前協議將進入"維護狀態",前端及智能合約保持可訪問,用戶仍可進行提款、還款及倉位管理操作,若後續追回任何資金將返還給受影響用戶。
據 The Block 報道,安全研究員 Florent 利用白帽漏洞成功解鎖了 2016年 HongCoin ICO 合約中被鎖定近十年的約 1,003枚 ETH(價值約 200 萬美元)。該合約因舊版 Solidity 語言缺乏溢出保護,導致退款功能長期失效。Florent與 HongCoin 團隊合作,通過管理員函數重置持倉餘額完成解鎖,整個過程歷時約一週。目前 48 名原始投資者可申領解凍資金,已有兩人共領取 96.5枚 ETH,並自願向 Florent 支付白帽獎勵。Florent 表示,此次解鎖純屬技術探索,未收取任何費用或佣金。
Aave 發佈 4 月 18 日 rsETH 事件事後調查稱,流動性質押協議 Kelp 的 rsETH LayerZero V2 跨鏈橋在 Unichain 至 Ethereum 跨鏈過程中接受僞造消息,導致 Ethereum 側適配器釋放 11.65 萬枚 rsETH,而 Unichain 側未發生對應銷燬。Aave 表示,攻擊發生於第三方跨鏈橋基礎設施,但攻擊者將被盜 rsETH 存入 8 個 Aave V3 倉位,並借出 8.265 萬枚 WETH 和 821 枚 wstETH,導致 Aave 市場受影響。Aave 稱,目前攻擊者在 Arbitrum 上的 rsETH 已被銷燬,LayerZero OFT 適配器已分 5 批補入 11.613172 萬枚 rsETH,rsETH 資產支持已完全恢復,受影響 WETH 與 rsETH 市場已恢復正常。
Blockaid 在 X 平臺發文披露,Alephium TokenBridge 以太坊跨鏈橋遭遇攻擊。攻擊者通過控制 4 個 Guardian 密鑰中的 3 個,僞造 VAA(驗證授權消息)並在約 7 分鐘內完成攻擊,共竊取約 81.5 萬美元資產。攻擊過程中,攻擊者憑空鑄造 1376 萬枚封裝 ALPH(Wrapped ALPH),超過攻擊前流通供應量的 100%,同時從託管池中解鎖並轉出 USDT、USDC、WBTC 和 WETH 等資產。目前,攻擊者地址仍持有約 81.5 萬美元被盜資產及 1376 萬枚無抵押支持的封裝 ALPH,其中最大一筆異常交易爲憑空鑄造 1376 萬枚封裝 ALPH。
SUPERFORTUNE AI 發佈 24 小時調查更新稱, 5 月 27 日 GUA 安全事件並非此前懷疑的地址污染,而是多籤簽名者私鑰遭泄露。攻擊者隨後僞造了指向惡意地址的有效簽名,並利用與正確地址前 4 位和後 4 位相同的“靚號地址”特徵誤導其餘簽名者在 Safe 界面完成簽署。
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,Arbitrum 網絡上的 StakeDAO(@StakeDAOHQ)遭遇無限鑄造漏洞攻擊,攻擊者共鑄造 5.4 萬億枚 vsdCRV,隨後將部分代幣兌換爲 43.781 枚 ETH(約 9.12 萬美元),並將資金跨鏈橋接至以太坊地址 0xeF3C...aa25。
鏈上數據顯示,StakeDAO 部署者私鑰在 Arbitrum 上遭泄露,攻擊者鑄造約 5.45 萬億枚 vsdCRV 部分兌換爲 43.7 枚 ETH。
據 Cointelegraph 報道,Google 搜索中出現假冒去中心化交易協議 Uniswap 的釣魚廣告,已使攻擊者至少獲利 40 萬美元。鏈上分析師b-block表示,相關仿冒網站正從多個錢包中轉走資金,涉事地址目前合計持有 146 枚 ETH,按發稿時約值 30.6 萬美元。Security Alliance( SEAL )稱,此類 Google 假廣告是常見釣魚攻擊來源,攻擊者會通過付費投放或入侵合法廣告賬戶,在搜索贊助結果中冒充熱門加密協議。SEAL 還表示, 3 月 13 日至 30 日期間,此類攻擊共造成 127 萬美元損失。
慢霧創始人餘弦在 X 平臺發文解讀 Squid 安全事件,他表示抽樣發現相關 Safe 錢包都是單籤,owner 也都不一樣,但問題不在私鑰,問題在這些 Safe 地址用到的如圖模塊(SquidRouterModule)存在漏洞,攻擊者可以僞造消息,輕易繞過相關驗證,發起後續的兌換操作,將目標 Safe 錢包裏的資金轉移走,此外餘弦還公佈了攻擊者獲利沉澱地址信息。此前消息,某第三方 Gnosis Safe 模塊在 Base 和以太坊上被利用,造成約 320 萬美元損失,受害者爲將該合約添加爲受信任 Safe Module 的86個 Gnosis Safe。該合約在 Basescan 上名爲 “SquidRouterModule”,隨後 Squid 澄清未受 Gnosis Safe 相關漏洞事件影響。
Squid在 X 平臺發文表示,此次事件與 Squid 核心協議及合約無關,所有 Squid 用戶及集成方均未受影響,無需採取任何行動。今日 Base 與 Ethereum 網絡上一個第三方 Gnosis Safe 模塊遭到攻擊,損失約 320 萬美元。該漏洞合約在 Basescan 上驗證名稱爲"SquidRouterModule",但該合約並非由 Squid 構建、部署或運營,而是一個選擇集成 Squid 及其他協議的第三方智能錢包產品,且與 Squid 無聯繫。攻擊原理爲該第三方模塊接受調用者提供的常量字符串作爲消息安全證明,該字符串在已驗證合約代碼中公開可見,攻擊者輸入後即可執行任意 calldata 數組,隨意竊取資金。受害者的 Safe 錢包將該問題合約添加爲受信任 Safe Module,使該合約無需簽名即可支配 Safe 內任意代幣。Squid 自有路由合約 (0xce16...D666) 架構不同,未受影響,Squid 用戶資金、授權及集成均完全安全。早期公開報道或因 Basescan 上的合約驗證名稱提及"SquidRouter",準確表述應爲:第三方 SquidRouterModule 遭攻擊,而非 Squid 的 Router 合約。該合約名稱與 Squid 相同,但非 Squid 代碼。Squid 正持續監控事態,如有重大變化將更新信息。
據 Blockaid 監測,其檢測到針對以太坊與 Base 鏈上 SquidRouter 模塊的持續攻擊。約 2 小時內,86 個 Gnosis Safe 錢包被盜取約 300 萬美元資產,所有被盜代幣均通過攻擊者控制的 Uniswap V3 池兌換爲 DAI。
據 PeckShield 監測,以太坊上的 WUSD/GLOVE 遭到攻擊,損失約 20.7 萬美元。攻擊者已將被盜資產兌換爲約 98 枚 ETH 並存入 Railgun。
多位區塊鏈與後量子密碼學研究人員警告稱,人工智能(AI)正在加速量子計算發展進程,並可能提前衝擊包括比特幣和以太坊在內的主流區塊鏈安全體系。專注於抗量子基礎設施的 Project Eleven CEO Alex Pruden 表示,AI 與量子計算的結合正徹底改變未來安全格局,“人們將無法再像過去那樣依賴既有安全假設”。研究人員指出,AI 已被用於優化量子糾錯,而量子糾錯正是量子計算發展中的關鍵技術瓶頸之一。Illia Polosukhin 也表示,AI 多年來一直在加速科研突破,未來甚至可能出現“AI 幫助構建下一代量子計算機”的循環加速效應。當前行業最擔憂的問題之一是“Harvest Now, Decrypt Later(先收集、後解密)”策略,即政府或高級攻擊者現在便開始大規模收集加密數據,等待未來量子計算成熟後統一破解。Polosukhin 警告稱,如果量子計算機在數年內成熟,“今天互聯網上的大部分重要數據都可能在未來被解密”。由於當前多數區塊鏈網絡與互聯網基礎設施廣泛採用橢圓曲線密碼學(ECC),理論上,一臺足夠強大的量子計算機可通過公鑰反推出私鑰,從而直接攻破錢包與鏈上系統。與此同時,AI 本身也正在強化黑客攻擊能力。Pruden 表示,AI 模型已越來越擅長髮現軟件漏洞、密碼學實現缺陷,甚至未來可能直接破解部分加密算法。不過,AI 同時也被開發者用於代碼審計、形式化驗證與後量子安全系統測試,形成攻防兩端同步升級的“長期安全軍備競賽”。研究人員認爲,AI 與量子計算共同帶來的最大變化在於:數字時代“加密長期可靠”的核心假設正在被動搖,未來安全體系或將從“靜態升級”轉向持續動態演進。(CoinDesk)
穩定幣發行方 StablR 遭遇持續攻擊,導致其歐元穩定幣 EURR 與美元穩定幣 USDR 發生脫錨。區塊鏈安全公司 Blockaid 表示,攻擊者疑似通過獲取鑄幣多籤賬戶中一名所有者的私鑰控制權限,在僅需 1/3 簽名的機制下替換其他管理員,並額外鑄造 835 萬枚 USDR 及 450 萬枚 EURR。隨後,攻擊者在 DEX 上將價值約 1040 萬美元的代幣兌換爲約 1115 枚 ETH,實際獲利約 280 萬美元。受事件影響,EURR 一度跌至 0.88 美元附近,USDR 跌至 0.7 美元附近。Blockaid 指出,此次事件並非智能合約漏洞,而是密鑰管理及治理機制失效所致。(Cointelegraph)
據鏈上分析師 PeckShield(@PeckShieldAlert)監測,VerusCoin 跨鏈橋攻擊者已將 4,052.4枚 ETH(約 850 萬美元)歸還至項目團隊地址(0xF9AB...C1A74),佔被盜總額的 75%,剩餘 25%(1,350枚 ETH,約 280 萬美元)作爲白帽賞金留存於攻擊者錢包。
據 Specter Analyst 監測,一名在 Kraken 和 Coinbase 交易平臺持有大額資產的高淨值投資者遭遇疑似人身脅迫襲擊,損失各類資產共計約 670 萬美元。攻擊者從該用戶的 Kraken 賬戶中提取了 1554 枚 ETH(約合 330 萬美元)和 10.5 枚 BTC。同時,攻擊者還突破了其 Coinbase 的防禦,提取了 34.1 枚 cbBTC。隨後,攻擊者將超過 530 萬美元的被盜資金直接存入隱私協議 Tornado Cash 以隱匿交易路徑。(financefeeds)
Syndicate Labs 表示,在開發用於可定製以太坊 Rollup 和測序器的鏈上基礎設施五年後,由於 Rollup 市場急劇縮水,公司決定關閉。Syndicate Labs 曾於 2021 年完成由 Andreessen Horowitz 領投的 2000 萬美元 A 輪融資。該決定使 SYND 代幣價格在過去三小時內下跌 21%,觸及 0.012 美元的歷史新低,較 2025 年 9 月 2.61 美元的峯值下跌 99.5%。此外,Syndicate Labs 表示,Syndicate Network Collective 獨立於 Syndicate Labs,因此 SYND 代幣治理不會立即受到影響,且關閉決定未受到此前橋接資產被黑客攻擊事件的影響。
據 CertiK 監測,跨鏈聚合協議 Transit Finance 攻擊者已向 Tornado Cash 存入 832.9 枚 ETH,價值約 180 萬美元。