被盜

ChainCatcher 消息，慢霧 SlowMist 發布安全警報，檢測到一起活躍的 npm 供應鏈攻擊，目標是 @redhat-cloud-services 相關軟體包。目前已確認 31+ 個包受影響，週下載量約 11.6 萬次，超過 300 個 GitHub 倉庫中存在被盜憑證。該攻擊手法與此前 "Shai-Hulud" npm 攻擊高度相似，包括憑證竊取、創建惡意倉庫及自動化秘密外洩。目前仍有新的可疑倉庫持續出現，表明攻擊仍在進行中，開發者仍在被持續感染。潛在危害包括：GitHub/npm token 被盜、AWS/GCP/Azure 雲憑證洩露、SSH 密鑰和 Kubernetes 秘密收集、本地環境及錢包數據外洩、惡意倉庫創建及持久化操作，甚至在 token 被吊銷後可能引發破壞性行為。建議立即移除或降級受影響的 @redhat-cloud-services 包版本，全面審計 CI/CD 工作流和依賴安裝，輪換所有 GitHub、npm、雲服務、SSH 及錢包相關密鑰，保留日誌，並從乾淨鏡像重建已暴露的開發者機器或 Runner，同時保持高度警惕。

ChainCatcher 消息，据 The Defiant 報導，Kelp DAO 跨鏈橋攻擊事件中約 2.2 億美元未凍結的資金已被黑客幾乎全部清洗。鏈上分析師 Arkham Intelligence 追蹤顯示，原攻擊者錢包中僅剩約 170 萬美元。該黑客與朝鮮有關聯，曾於 4 月發動針對 LayerZero 的 2.92 億美元跨鏈橋攻擊。資金通過 THORChain、Wasabi、Tornado Cash 和 Umbra 等隱私工具轉移。4 月 20 日 Arbitrum 安全理事會凍結的約 7100 萬美元以太坊是目前唯一可追回的部分。LayerZero 於 5 月 18 日發布的報告將攻擊歸咎於朝鮮 TraderTraitor 組織。Kelp 已通過遷移至 Chainlink CCIP 及 DeFi United 計劃恢復了約 11.6 萬枚 rsETH，Aave 安全模塊吸收了約 1.9 億美元壞帳。

ChainCatcher 消息，區塊鏈安全公司 CertiK 最新數據顯示，2026 年 5 月加密行業因黑客攻擊、漏洞利用及詐騙造成的損失約為 6830 萬美元，較 4 月超 6.5 億美元的損失規模下降近 90%，成為今年第三個損失低於 1 億美元的月份。CertiK 表示，5 月期間約有 260 萬美元損失來自釣魚攻擊。相比之下，4 月因 Drift Protocol 和 KelpDAO 基礎設施遭遇重大攻擊，分別損失約 2.85 億美元和 2.92 億美元，兩起事件合計占當月損失總額約 95%，推動 4 月成為自 2022 年 3 月以來損失最嚴重的月份之一。儘管協議層面的大規模攻擊有所減少，CertiK 警告稱，釣魚攻擊、社會工程學詐騙、深度偽造（Deepfake）及憑證洩露等風險仍在持續增長。研究人員指出，越來越多攻擊者開始針對員工、運營系統及身份認證流程發起攻擊，而非單純利用智能合約漏洞。CertiK 強調，5 月損失下降更多反映了缺少超大規模安全事件，並不意味著行業安全狀況已出現根本性改善，跨鏈橋漏洞、協議缺陷、內部威脅及社會工程學攻擊仍是加密行業面臨的主要風險。

ChainCatcher 消息，GoPlus 發布安全警報稱，韓國版涼兮、合約直播 KOL 西八姐 @jadoodoo_ 的 X 帳號被盜，正以合作名義瘋狂私信粉絲發送釣魚連結。已有多個 KOL 中招，總損失約 5,000 美元。請不要點擊連結錢包或下載惡意軟體。

ChainCatcher 消息，据 Specter 发文，其聯合 ChangeNOW 凍結了 Gravity Bridge 被盜資金中的 9.1 萬美元。攻擊者仍持有大部分資金，尚未轉移。此前消息，Gravity Bridge 橋接合約密鑰遭洩露，導致 540 萬美元資產被盜。攻擊者提取的資產包括：430 萬美元 USDC、274 枚 WETH（價值約 55.3 萬美元）、43.4 萬美元 USDT、6.4 萬美元 PAYG。涉事地址為 0x7B58...1F9 及 0x4d3c...A47。

ChainCatcher 消息，Blockaid 在 X 平台發文披露，Alephium TokenBridge 以太坊跨鏈橋遭遇攻擊。攻擊者通過控制 4 個 Guardian 密鑰中的 3 個，偽造 VAA（驗證授權消息）並在約 7 分鐘內完成攻擊，共竊取約 81.5 萬美元資產。攻擊過程中，攻擊者憑空鑄造 1,376 萬枚封裝 ALPH（Wrapped ALPH），超過攻擊前流通供應量的 100%，同時從托管池中解鎖並轉出 USDT、USDC、WBTC 和 WETH 等資產。目前，攻擊者地址仍持有約 81.5 萬美元被盜資產及 1,376 萬枚無抵押支持的封裝 ALPH，其中最大一筆異常交易為憑空鑄造 1,376 萬枚封裝 ALPH。

ChainCatcher 消息，鏈上監測顯示，跨鏈橋 Gravity Bridge 或因合約密鑰洩露遭遇安全事件，涉及 USDC、WETH 和 USDT 等資產，總損失約 540 萬美元。

ChainCatcher 消息，Saturn 基金會官方於 X 發文表示，已將 Squid 黑客事件相關地址列入黑名單並凍結了被盜資金。受影響用戶可在 Saturn 官方 Discord 伺服器上提交工單。Saturn 的任何合約或基礎設施均未受此次事件影響。

ChainCatcher 消息，据 Blockaid 監測，跨鏈路由協議 Squid 在以太坊和 Base 網絡上的 SquidRouterModule 正遭受持續攻擊，攻擊發生約兩小時內，已有 86 個 Gnosis Safe 錢包被清空，損失金額約 300 萬美元。攻擊者隨後將所有被盜代幣通過其控制的 Uniswap V3 流動池兌換為 DAI，並歸集至單一地址，目前該歸集錢包持有約 307 萬美元 DAI。

ChainCatcher 消息，据加密 KOL Yusuf 監測，昨日歐洲穩定幣發行商 StabIR 旗下 EURR 及 USDR 兩個合約遭到攻擊，損失超 1000 萬美元。事件發生後，超 10 萬美元被盜資金已凍結，USDR 及 EURR 脫鉤幅度超 20%。

ChainCatcher 消息，据 GoPlus 分析，穩定幣協議 StablR 在以太坊上多簽合約的安全設置問題（多簽閾值為 1），以及持有者私鑰被竊取，導致 StablR $EURR、$USDR 穩定幣脫鉤 20%，攻擊者已獲利約 280 萬美元。

ChainCatcher 消息，TON 網絡擴展項目 TAC 發文披露，5 月 11 日 TON-TAC 資產橋發生安全事件，四天後約 80% 的受影響資產已返還。TAC 今日發布事後分析報告詳細披露了事件經過。漏洞根源在於排序器軟體缺少一次驗證：攻擊者在 TON 上部署了偽造的 Jetton 錢包，排序器因未驗證發送方錢包的代碼哈希而接受了偽造代幣。總損失約 286 萬美元，涉及 USDT、BLUM 和 tsTON。公開呼籲後，約 90% 資產於 5 月 14 日返還至 TAC 控制的多簽地址，剩餘 10% 由攻擊者保留。跨鏈橋仍處於暫停狀態，等待審計方和 TON 合作夥伴完成對修復後排序器軟體的獨立審查。跨鏈操作將在修復軟體完成驗證、且用追回資產和 TAC 基金會代幣儲備填補缺口後恢復。由於需多方協調，無法提供確切時間表。剩餘資金缺口將由 TAC 基金會財庫填補，用戶和協議無財務損失。TAC 提醒用戶，官方更新僅通過本帳號和 Telegram 發布，任何未經請求的"恢復"或"支持"私信均為詐騙。

ChainCatcher 消息，据慢霧餘弦監測，Bankr 多個用戶錢包被盜。@bankrbot 回覆稱，該事件為針對自動化代理之間信任層的社會工程攻擊，具體涉及 Grok 與 Bankrbot 之間的互動，並導致未經授權的交易簽名。

ChainCatcher 消息，据派盾監測，Adshares 跨鏈橋攻擊者已向項目部署者地址返還 256 枚 ETH，價值約 54.07 萬美元，占此前被盜資金的約 86%此前，Adshares 跨鏈橋於 2026 年 5 月 17 日遭遇攻擊，損失約 62.8 萬美元。

ChainCatcher 消息，慢霧餘弦在 X 平台發文表示，Verus 被盜原因可能是攻擊者構造了一個偽造的 Merkle 證明，通過了 Verus 以太坊橋（未開源）的驗證，於是順利提走其中資金（ETH/tBTC/USDC）。具體細節需要再驗證。

ChainCatcher 消息，美國紐約法官 Margaret M. Garnett 週三推遲了對 Aave 緊急申請的裁決，該申請旨在解凍與 Kelp DAO 黑客事件相關的 7100 萬美元 ETH，並要求雙方在 6 月 5 日聽證會前提交補充意見書。Aave 試圖拿回 Arbitrum 冷凍的 7100 萬美元 ETH，用於協助此次黑客事件的資產追回工作------Kelp DAO 遭受的黑客攻擊損失高達 2.93 億美元，是今年 DeFi 領域最嚴重的安全事件之一。然而，美國律師事務所 Gerstein Harrow LLP 於 5 月初向法院提交了限制令，主張其客戶對上述資金享有權利。Aave 隨即提出緊急動議，要求解除凍結，並警告若資金不能及時釋放，將引發用戶清算並可能衝擊整個 DeFi 市場。法官 Garnett 在裁定中指出，Aave 未能充分說明若限制令維持原狀，用戶資金如何產生"複利損失"。她同時承認案情複雜、受害者面臨一定風險，並要求雙方就六項關鍵問題補充陳述，包括：黑客攻擊交易是否受紐約州庇護原則約束、欺詐與盜竊的法律區別及黑客對被盜資產享有何種權益、適用何種法律裁定凍結資產的債權優先級、推定信託是否為適當救濟手段，以及 Aave 或 Arbitrum 能否識別個別受害者並按比例返還資產。雙方須於 5 月 22 日前提交補充意見書。與此同時，Kelp DAO 的整體賠付工作正在推進。Kelp 與 Aave 週二宣布，黑客持有的 rsETH 已在 Arbitrum 上完成銷毀，約 2.78 億美元的損失代幣將在未來兩週內通過 Aave Recovery Guardian 多簽錢包的資金予以恢復，相關智能合約重新激活後，rsETH 的全部功能將恢復正常。

ChainCatcher 消息，据 Huma Finance 官方披露，其在 Polygon 上的舊版 V1 合約遭到漏洞利用，約 101,400 USDC 被轉出。項目方表示，本次事件未影響用戶資金安全，且 Huma Finance PST 未受影響。其在 Solana 上的 V2 系統為完全重構版本，不受該漏洞影響。Huma 方面稱，團隊此前已在推進 V1 流動性池逐步下線，目前已全面暫停 V1 相關合約，並將繼續處理後續收尾工作。

ChainCatcher 消息，TrustedVolumes 在 X 平台發文確認遭到攻擊，其披露截至目前被盜資金分別存放於三個地址中，總金額約為 670 萬美元。其中兩個地址各持有約 300 萬美元資產，另一個地址持有約 70 萬美元資產，同時 TrustedVolumes 表示願意就漏洞賞金及雙方可接受的解決方案與攻擊者展開建設性溝通。

ChainCatcher 消息，据市场消息，一名居住在波多黎各的匿名加密巨鲸起诉 Coinbase，指控該交易所拒絕返還其在 2024 年黑客攻擊中被盜的資金。該訴訟與 2024 年 8 月的一起安全漏洞高度相似，當時一名加密用戶在遭受釣魚攻擊後損失超過 5500 萬美元的 DAI 穩定幣。原告稱，在攻擊發生後聘請了多家鏈上調查公司追蹤被盜資金，資金被追蹤至一個 Coinbase 賬戶，Coinbase 于 2024 年 12 月初確認已鎖定相關資金，但將其凍結以待調查。然而一年半後，Coinbase 仍未返還資金，並聲稱需法院命令才會釋放。該攻擊最初由鏈上偵探 ZachXBT 識別，黑客使用 "Inferno Drainer" 平台創建了偽造的 DeFi Saver 登錄頁面，受害者誤將錢包控制權交給攻擊者。

ChainCatcher 消息，据鏈上分析師 Specter 監測，Wasabi 協議攻擊者已將全部被盜資金轉入 Tornado Cash，約 590 萬美元資產完成集中混幣操作。鏈上分析顯示，該攻擊者及疑似朝鮮相關黑客組織（DPRK）近期持續使用 Tornado Cash 對包括 KelpDAO 與 LayerZero 在內的被盜資金進行洗錢，並呈現出多階段複雜資金流轉路徑。典型洗錢路徑包括：資金先進入 Wasabi Mixer 進行初步混幣提現後跨鏈回流至 Ethereum 再次進入 Tornado Cash 深度混合提現至新錢包並分散至多個地址新錢包部署代幣並引導流動性利用資金買入並抽走流動性資產隨後跨鏈至 Tron（USDT）體系資金短暫停留後流向 OTC 相關錢包鏈上安全分析指出，該模式已成為近期高頻攻擊資金清洗模板，呈現出"混幣 + 跨鏈 + 代幣化 + OTC 出口"的組合結構。行業安全人員提醒，該類攻擊已從單一盜取轉向系統性資金工程化洗錢路徑，追蹤難度顯著上升。