安全事件

根據印度內政部（Ministry of Home Affairs），該國的國家網路犯罪機構在 4 月 20 日發布了一份正式諮詢，點名了三個偽造的「Verify Crypto Assets on BNB Chain」網站，目標是 Trust Wallet 使用者。新的攔截程式網域 buepux.com 於 5 月 3 日加入該清單，並且已被 MetaMask 阻擋。Darktrace 研究人員追蹤到一個變種，其透過惡意的授權交易，在兩分鐘內從單一受害者手中竊取了 47 萬美元。

加密貨幣資安公司 SlowMist 已發布安全警示，警告針對 TRON（TRX）錢包使用者的高風險釣魚攻擊。根據該公司的新聞稿，攻擊者製作了惡意的 Chrome 擴充功能，模仿官方 TronLink 錢包，並使用精密的偽裝手法，誘使使用者安裝。這個假擴充功能會竊取錢包憑證，並即時傳送給攻擊者。 攻擊手法 惡意擴充功能會使用 Unicode 雙向控制字元以及類似的西里爾字母來偽裝擴充功能名稱，使其幾乎與合法的 TronLink 錢包擴充功能相同。假擴充功能會在 Chrome Web Store 上架，並利用官方版本的高下載量與正面評價，讓一般使用者看起來更值得信任，因此偵測極為困難。 攻擊鏈 一旦安裝完成，惡意擴充功能會透過遠端伺服器上傳釣魚頁面。該頁面會完美複製官方 TronLink 網頁錢包介面。當受害者透過假介面登入其 TRON 錢包時，擴充功能會擷取其私鑰、keystore 檔案與密碼。這些被竊取的資訊會透過 Telegram 機器人即時傳送給攻擊者，從而完成憑證竊取鏈。 建議的 TRON 使用者應對行動 SlowMist 建議採取以下防護措施： 立即檢查並從瀏覽器中移除任何來自

根據 Foresight News，Huma Finance 的 legacy v1 合約部署在 Polygon 上，今日遭攻擊者利用，導致損失 101,400 USDC。該協議表示，使用者資金不受影響，其 PST 代幣也未受影響。部署在 Solana 上的 v2 系統（一個完整重建）不易受此漏洞影響。Huma Finance 已完全暫停 v1 的運作，因其先前已計劃關閉 legacy 流動性池。

根據 Odaily，交易者 A（@missoralways）表示，其連接到 Sigma 的兩個錢包近期遭到清空，這也成為其在六個月內遭入侵的第二個錢包。該交易者稱，他們先前在 Sigma 中存放七位數資產而未出現安全問題，但兩次清空都發生在錢包餘額低於 10,000 美元時。此外，另一名使用者在類似情況下損失了約 20 萬美元的資產。Sigma 團隊已針對這些事件展開調查。

根據 Arkham Intelligence 的說法，5 月 11 日，區塊鏈分析平台發布了一份報告，揭露投資詐欺占 2025 年加密貨幣犯罪損失的 49%。報告援引 FBI 網路犯罪投訴中心（Internet Crime Complaint Center）的數據指出，2025 年美國境內與加密相關的犯罪損失超過 110 億美元。報告指出，數位資產犯罪如今已涵蓋多種形式，包括投資詐騙、洗錢、勒索軟體、規避制裁以及恐怖分子融資，其中結合精心設計的戀愛詐騙與投資話術的複合詐騙，正在推動鉅額損失。

根據 SlowMist 的資安監控系統 MistEye，一款惡意的 Chrome MV3 擴充功能正以釣魚攻擊鎖定 TRON 錢包使用者，企圖竊取助記詞、私鑰、金鑰庫檔案與密碼。該擴充功能使用 Unicode 混淆與品牌冒充，將自己偽裝成官方外掛；然後在安裝後載入遠端 iframe 彈出頁面，誘使使用者輸入敏感資訊，並透過 Telegram Bot 進行傳送。 惡意基礎設施包含網域 tronfind-api.tronfindexplorer.com 與 trx-scan-explorer.org。該擴充功能的識別碼為 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建議使用者立即解除安裝該擴充功能，若已提交敏感資訊，則請遷移資產。

根據 ChainCatcher，Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 於數分钟前遭到攻擊，造成約 14 萬美元的損失。

根據 PeckShield 監控，TrustedVolumes 攻擊者已於 5 月 11 日前轉移並洗錢了 278,000 美元的竊得資金。攻擊者將 10.2 ETH（23,600 美元）存入 Tornado Cash，透過 THORChain 將 110 ETH（250,000 美元）兌換為比特幣，並嘗試在撤回前將 0.5 ETH 存入 Railgun。TrustedVolumes 在 5 月 7 日的攻擊中遭受約 670 萬美元的總損失。

根據新南威爾斯警方（NSW Police），當局在 5 月 4 日於雪梨西南部的英爾伯恩（Ingleburn）進行突擊搜查時，查獲了價值約 AU$5.7 million 的 52.3 比特幣（Bitcoin），這是警方所描述的澳洲最大規模的加密貨幣查扣案之一。該行動是「安達魯西亞打擊特遣部隊」（Strike Force Andalusia）的一部分；該調查於 2024 年 9 月啟動，針對疑似與違禁藥物販售相關的暗網市集活動。 調查期間，兩名男子被起訴：一名 39 歲的英爾伯恩（Ingleburn）居民面臨的指控包括處理犯罪所得超過 AU$5 million、供應違禁藥物，以及未遵守數位證據存取令；另一名 41 歲男子則因被指涉嫌進行超過 AU$100,000 的加密貨幣轉帳而被起訴。兩案目前仍在法院審理中。警方使用區塊鏈追蹤與數位鑑識，以將加密貨幣交易連結至嫌疑人。

美國紐約南區聯邦地方法院法官 Margaret Garnett 於週五部分解除了自 5 月 1 日以來被凍結的 30,766 ETH，允許在鏈上治理投票中將該資產轉移至 Aave。該修改允許代表在不違反禁制通知的情況下啟動並對該交易進行投票。然而，若恐怖主義判決債權人最終在其主張中獲勝，認為該 ETH 符合《外國主權豁免法》（Foreign Sovereign Immunities Act）與《恐怖主義風險保險法》（Terrorism Risk Insurance Act）下的北韓財產，資金仍將受到凍結限制。Arbitrum 代表於週四投票批准釋放，182.2 百萬 ARB 代幣支持該提案，且約 91% 的投票權贊成。

根據 Edaily，南韓金融安全院（FSI）今日宣布開發一款專用的智慧合約安全驗證工具，並推進三項主要計畫，包括打造智慧合約驗證系統以及培育數位資產人才。該驗證工具將自動偵測用於代幣證券、穩定幣以及其他數位資產服務的智慧合約中的主要弱點，重點鎖定高風險弱點類型，例如重入（reentrancy）攻擊、存取控制錯誤以及抵押品驗證不足。工具將持續更新符合南韓金融監管環境的客製化檢查標準。FSI 也將建立涵蓋整個智慧合約生命週期的驗證程序與標準，從開發到部署與營運，並為會員公司發布《智慧合約安全指南》。

根據 Foresight News，Wagyu 開發者 PerpetualCow 澄清，XMR1 代幣持有者可透過 Terminal 提款，而非使用先前的跨鏈 UI，否認近期 Rug Pull（拉地毯）指控。開發者表示，沒有使用者回報提款失敗，且交換介面已明確註明正確的提款方式。社群成員先前曾提出疑慮，認為 Wagyu 類似 Rug Pull，XMR 存入可能被鎖住，並出現 Honeypot（蜜罐）指標。XMR1 是由 Wagyu 在 Hyperliquid 發行的合成 XMR 代幣。

微軟 Defender 指出，ClickFix 利用 Medium、Craft 等平台發布假故障排除指南，誘導用戶於 Terminal 執行惡意命令，繞過 Gatekeeper，惡意程式以記憶體中執行方式運作。涉及 Amos、Macsync、SHub Stealer 三大家族，竊取 Exodus、Ledger、Trezor 的錢包金鑰，以及 iCloud、Telegram、Chrome/Firefox 密碼與少量本機檔案，並可能替換合法應用。 Apple 已在 macOS 26.4 加強防護，阻止可疑命令貼入 Terminal。

根據 Renegade 於 X 上的官方聲明，該協議的傳統 V1 Arbitrum 部署在今早（5 月 11 日）遭到攻擊，造成約 209,000 美元的損失。一名白帽駭客已歸還約 190,000 美元，而團隊確認所有受影響的用戶都將獲得全額補償。 團隊確認，該漏洞僅存在於 V1 Arbitrum 部署；V1 Base、V2 Arbitrum 和 V2 Base 部署仍保持安全。所有支援 V1 Arbitrum 交易的基礎設施已暫停，從而消除了進一步的資金風險。

根據 Foresight News，USDT0（Tether 的資產互通協議）在 Kelp 事件後公布安全架構細節。該協議採用具專有權的去中心化驗證者網路（DVN），並具備訊息否決權，且在跨鏈訊息結算前，需要基於不同程式碼基底的三名獨立驗證者達成 3/3 共識。現有驗證者節點包括 USDT0 的專有 DVN、LayerZero 和 Canary。USDT0 也已在 Immunefi 推出一項價值 600 萬美元的利潤漏洞獎勵計畫，合約經由 Guardian 與 OpenZeppelin 進行稽核。

根據 Microsoft 的資安研究團隊表示，從 2025 年底以來，攻擊者一直在包括 Medium、Craft 和 Squarespace 等平台上散布偽造的 macOS 疑難排解指南，以誘使用戶執行惡意的終端機指令。這些指令會下載並執行旨在竊取 Exodus、Ledger 和 Trezor 等加密貨幣錢包金鑰的惡意程式，並同時竊取 iCloud 資料以及 Chrome 和 Firefox 中保存的密碼。 涉及的惡意程式家族包括 AMOS、Macsync 和 SHub Stealer。某些情況下，攻擊者也會刪除合法的錢包應用程式，並用被植入木馬的版本取代。Apple 已在 macOS 26.4 中新增保護機制，用以阻止貼上可能具惡意的指令。

根據 LayerZero 的說法，該協議於週五就 4 月 18 日的漏洞處理發布公開道歉。該漏洞從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH，這也標誌著其先前事故復盤文章的語氣出現重大轉變。LayerZero 承認，其去中心化驗證者網路（Decentralized Verifier Network，DVN）不應該成為高價值交易的唯一驗證者，並表示：「我們犯了錯，允許我們的 DVN 作為高價值交易的 1/1 DVN。」公司透露，北韓的 Lazarus Group 在同時啟動針對外部供應商的 DDoS 攻擊之際，已入侵其內部 RPC 節點，導致 DVN 被迫依賴遭毒化的基礎設施。 LayerZero 列出了修復步驟：其 DVN 將不再提供 1/1 設定，在可能的情況下，預設設定正遷移為至少需要五名驗證者；該公司也計畫使用 OneSig 將其多重簽名門檻從 3-of-5 升級為 7-of-10。此次漏洞影響了網路上約 0.14% 的應用程式，以及總資產的 0.36%；自 4 月 19 日以來，已有超過 90 億美元的資金透過該協議完成跨移動。

根據 LayerZero 於週五發布的官方部落格貼文，該協議就其處理 4 月 18 日漏洞事件公開道歉；該事件透過 Kelp DAO 的跨鏈橋導致 rsETH 被掏空，金額達 2.92 億美元。LayerZero 承認其錯誤在於允許其去中心化驗證者網路（Decentralized Verifier Network）作為高價值交易的唯一驗證者，並撤回先前的立場，先前指責是 Kelp DAO 的設定選擇所致。 針對此次事件，LayerZero 表示其將不再提供 1/1 DVN 配置服務，並在可行的情況下，將預設設定遷移為至少需要五名驗證者。此份道歉出現之際，Kelp DAO 與 Solv Protocol 已將其跨鏈基礎設施遷移至 Chainlink 的 CCIP，理由是安全性方面的疑慮。

加密資安公司 CertiK 根據該公司的分析估計，截至 2026 年前四個月，加密貨幣持有人因「拷打式攻擊（wrench attacks）」約損失 1.01 億美元。若以此速度持續，代表 2026 年全年將損失數億美元。 拷打式攻擊——這個術語在資安領域指的是透過突破軟體安全系統的實體攻擊與勒索嘗試——已成為「加密貨幣持有人一個已確立的威脅途徑」，CertiK 寫道。專家指出，2025 年是迄今為止加密相關拷打式攻擊最活躍的一年，報告中約有 70 起實體攻擊事件；然而由於這類犯罪的性質，許多案件很可能未被通報。 2026 攻擊激增與地域集中 CertiK 報告稱，2026 年前幾個月全球共發生 34 起已驗證的拷打式攻擊事件，較 2025 年同期增加 41%。若外推至全年，估計將有 130 起事件，並造成數億美元的預估損失。 地域上，34 起攻擊中有 28 起（82%）發生在歐洲。與此同時，根據 CertiK 的說法，美國在第一季通報的威脅降至 3 起，而 2025 年為 9 起；在亞洲則從 25 起降至 2 起。 法國成為主要目標 法國仍是拷打式攻擊的主要焦點，2025 年共記錄 2

根據 The Block，LayerZero 於週五就其處理 4 月 18 日的漏洞事件發表公開道歉。該事件從 Kelp DAO 的跨鏈橋遭竊約 2.92 億美元的 rsETH。該協議承認，允許其去中心化驗證者網路（Decentralized Verifier Network，DVN）作為高價值交易的唯一驗證者是其失誤；並撤回先前將責任歸咎於 Kelp DAO 的配置選擇的立場。 LayerZero 公布了多項補救措施：LayerZero Labs 的 DVN 不再提供 1/1 DVN 設定；預設設定正在遷移，盡可能至少需要五名驗證者，且下限為三；公司也將其多重簽章門檻從 3-of-5 提升為 7-of-10。該協議另披露了一起先前未被報導的作業安全事件，時間距今 3.5 年，內容涉及一名多重簽章簽署者誤用生產用硬體進行個人交易。LayerZero 表示，此次漏洞事件影響了網路上約 0.14% 的全部應用程式。