OpenZeppelin 共同創辦人公開喊「所有 DeFi 都不安全」,六小時後公司切割:他 2019 年已離職
過去一年 DeFi 被駭金額累計超過 11 億美元,4 月 Kelp DAO 單次被掏 2.92 億美元、Step Finance 被偷 2,700 萬後直接停業。智慧合約安全的不對稱問題一直存在:防⋯
主題標籤
安全
SquidRouterModule 授權設計失誤,86 個 Gnosis Safe 兩小時被掏走 320 萬美元
Gnosis Safe 的模組機制允許第三方合約「不經多簽簽核就送出交易」,前提是模組本身的權限檢查要夠嚴格。OpenZeppelin 兩年前就警告過:任何掛上 Safe 的模組,只要內部檢查鬆掉,就⋯
Bankr 二度遭攻擊:14 個錢包被掏空 44 萬美元,AI 代理信任層成新攻擊面
Bankr 把 AI 代理接上鏈上錢包,讓系統讀取 Grok 在 X 上的回覆並轉成交易指令。5 月初第一次攻擊中,駭客用 NFT 解鎖轉帳權限,再用摩斯密碼誘導 Grok 產生轉帳指令,30 億顆 ⋯
Echo Protocol 管理員私鑰遭竊:攻擊者在 Monad 上憑空鑄出 7,700 萬美元 eBTC
2026 年是 DeFi 安全的災難年。4 月就被 Drift(2.85 億美元)跟 Kelp DAO(2.92 億美元)兩次破紀錄攻擊抽掉接近 6.45 億美元,5 月到目前為止已經 14 起,前一⋯
Verus-Ethereum 跨鏈橋遭攻擊,1,158 萬美元被掏空:金額驗證缺漏再成破口
跨鏈橋是 DeFi 最危險的地方。從 Wormhole 2022 年 3.2 億美元、Nomad 2022 年 1.9 億美元一路下來,「跨鏈狀態驗證對了、但金額沒對」的同一類漏洞反覆出現,2026 ⋯
Binance 稱 AI 防線擋下 105 億美元詐騙:攻防兩邊都開始自動化
AI 正在降低詐騙成本,深偽影音、語音複製、釣魚機器人與智慧合約攻擊都更容易規模化。交易所若要守住使用者資金,也只能把偵測與攔阻流程自動化。 Binance 稱 2025 年初至 2026 Q1,AI⋯
Tydro 因預言機風險停擺六天:Kraken Ink 最大借貸協議改投 Chainlink
借貸協議最怕預言機被攻擊,因為錯誤價格會直接引發清算。Tydro 是 Kraken L2 Ink 上最大的借貸協議,Chaos Labs 警告疑似國家級攻擊後,它選擇先停掉整個市場。 Tydro 5 ⋯
TrustedVolumes 被駭 670 萬美元:1inch 周邊合約再成攻擊入口
DeFi 攻擊不一定發生在核心協議,周邊解算器、RFQ 代理與流動性提供者也可能握有使用者 approvals。這些外掛元件一旦出錯,會讓主協議也被拖進聲譽風險。 TrustedVolumes 5 月⋯
Bitcoin Core 公開記憶體漏洞:修補已完成,但 43% 節點仍未升級
比特幣安全不只靠挖礦,也靠大量節點維持共識。但節點軟體沒有自動更新機制,重大漏洞即使已修補,也可能因舊版節點長期存在而留下攻擊面。 Bitcoin Core 5 月 5 日揭露 CVE-2024-52⋯
北韓靠兩次攻擊拿走 2026 年 76% 駭客損失,累計竊取超過 60 億美元加密貨幣
TRM Labs 報告指出,北韓駭客在 2026 年 4 月透過 Drift(2.85 億美元)和 KelpDAO(2.92 億美元)兩次攻擊拿走 5.77 億美元,佔今年加密駭客總損失的 76%。自⋯
法國加密綁架每 2.5 天一起:88 人被訴,Durov 指控稅務資料外洩是元兇
法國反組織犯罪檢察官公布,自 2023 年以來累計 135 起加密貨幣相關綁架案,2026 年前 3.5 個月就有 41 起,等於每 2.5 天一起。88 人被起訴(含 10 多名未成年人),75 人⋯
FBI 跨國掃蕩殺豬盤:276 人被捕、9 座詐騙中心被拆,攔截 5.62 億美元
美國司法部宣布 FBI 聯合杜拜警方和中國公安部,逮捕至少 276 人並拆除 9 座加密貨幣投資詐騙中心。這是針對「殺豬盤」最大規模的跨國執法行動,詐騙集團透過假投資平台和長期培養信任關係,騙取受害者⋯
Litecoin 回滾 13 個區塊:漏洞其實 37 天前就修好了,礦工沒更新才被攻擊
Litecoin 在 2022 年啟用的隱私擴充功能 MWEB(MimbleWimble Extension Blocks),讓使用者可以隱藏交易金額和地址。這套功能上線四年來從未出過事,直到 4 月⋯
Vercel 被駭、駭客叫價 200 萬美元:數百個加密專案前端曝險,Orca 帶頭輪換金鑰
雲端部署平台 Vercel 4 月 19 日揭露安全事件:攻擊者先入侵員工使用的第三方 AI 工具 Context.ai,透過其 Google Workspace OAuth 權限橫向滲透進 Verc⋯
Tether 砸 1.275 億救 Drift、順手搶走 Solana 穩定幣結算地位
Drift 遭北韓駭客攻擊後,需要外部資金支撐復原與賠付。Tether 與合作夥伴提出救援方案,其中 Tether 承諾投入約 1.275 億美元,協助 Drift 補上資金缺口並恢復交易信心。 這筆⋯
DeFi 週二下午 14:54 的劫持:CoW Swap 網域被換成假網站,使用者被誘簽「無上限」授權
DNS 劫持是 DeFi 最難擋的一種攻擊:智慧合約本身沒事,但網站被換掉,使用者不知情就把錢包授權給假介面。四月十四日下午 14:54 UTC,Ethereum 最大 DEX 聚合器之一 CoW S⋯
北韓 IT 幽靈大軍:ZachXBT 公開外洩伺服器資料,390 個假身份每月洗出 100 萬美元
鏈上偵探 ZachXBT 4 月 8 日發布 11 篇推文串,公開了從一名北韓 IT 工人被入侵的裝置中取得的內部支付伺服器資料。這個名為 luckyguys.site 的自架通訊平台長得像 Disc⋯