安全事件

《华尔街日报》（WSJ）于 5 月 26 日刊文分析，尽管《GENIUS 法案》已签署生效且《CLARITY 法案》正在美国参议院审议，稳定币本质仍属于「私人货币」，可能对金融体系带来结构性风险。Chainalysis 数据显示，稳定币占非法加密货币活动（主要涉及规避制裁和洗钱）的 84%。 WSJ 的核心分析：稳定币缺乏美元的「单一性」 WSJ 在文章中指出，货币的基本属性包括「单一性」——无论何时何地，一美元必须等于一美元。银行存款因可通过联准会借款兑付而具备这种单一性；稳定币则运作在各自独立的分散基础设施上，不具备这一属性，USDT 和 USDC 虽锚定美元但价格仍可能偏离 1 美元。WSJ 引援 BIS 总经理 Pablo Hernández de Cos 的表述：「稳定币试图从公共货币中获取信誉，却又游离于既定的结算体系之外。」WSJ 认为稳定币正在重演 19 世纪美国「自由银行时代」（1837 至 1863 年）的私人货币路径，当时各银行可自行发行货币，但体系支离破碎、欺诈普遍、货币价值相互波动。 现行监管框架的覆盖范围与确认漏洞 美联储理事 Michael Barr 曾指

比特幣（BTC）短線低迷下挫，5 月 26 日暫報 76,840 美元左右。Hyperliquid 宣布支持基於鏈下事件的預測市場合約。Squid 第三方 Gnosis Safe 模組從以太坊和 Base 上的 86 個 Safe 中竊取了約 320 萬美元。Squid 澄清沒有建置也沒有部署該合約，核心協議不受影響。 宏觀事件 & 幣圈熱點 1、根據官方公告，Hyperliquid 現已支持基於鏈下事件的規範結果市場。這些市場由驗證者作為常規鏈操作的一部分運行的自動新聞源軟體發布。驗證者根據市場規則的明確性、正確性和主觀品質等多種因素，對規範市場的部署和結算進行投票。 2、據 The Block 報道，安全公司 Blockaid 和 PeckShield 報告稱，第三方 Gnosis Safe 模組在以太坊和 Base 上遭到攻擊，在大約兩個小時內從 86 個 Safe 中竊取了約 320 萬美元。該存在漏洞的合約在 Basescan 上以「SquidRouterModule」的名稱進行了驗證，但它並非由跨鏈協議 Squid 建置、部署或營運。Squid 強調，其核心協定與合約（包括

据《华尔街日报》5月26日报道，稳定币作为私人货币运作，可能对金融体系带来结构性风险。文章引用的 Chainalysis 数据显示，稳定币占加密相关非法活动的 84%，包括规避制裁和洗钱。文章指出，尽管稳定币与美元挂钩，但像 USDT 和 USDC 这样的稳定币可能会因其碎片化的私人基础设施而偏离 1 美元的目标价格。目前，稳定币主要用于加密交易，现实经济中的支付用途占比不足 1%。

据 Cryptopolitan 称，隶属于朝鲜的黑客组织 Lazarus 于 5 月 26 日部署了一种名为 RemotePE 的新的无文件远程访问木马（RAT），用于攻击加密货币公司和银行。该恶意软件完全在内存中运行，使传统杀毒软件和取证工具难以检测。Lazarus 在 2026 年前四个月窃取了约 5.77 亿美元的加密资产，占该期间全球加密盗窃的 76%。自 2017 年以来，该组织已累计窃取超过 60 亿美元的资产。

Soclet 的调查人员发现了一种新的供应链攻击，针对使用 npm、PyPI 和 Crates.io 包的加密货币开发者。该活动被称为 Trapdoor，重点是从加密领域的开发者处窃取加密钱包密钥和其他机密信息。 要点： 5 月 22 日，Socket 发现 Trapdoor 恶意软件感染了 34 个开发者包，用于窃取加密钱包和密钥。 覆盖 384 个版本，该活动欺骗 AI 工具，并严重影响开发市场。 在类似的 9 月攻击之后，Socket 警告开发者必须进一步从加密盗窃中保护 AI 环境。 供应链攻击方案 Trapdoor 以最大化性能为目标打击开发者 尽管有些恶意软件活动针对日常加密货币用户，但也有一些将目标锁定在开发者身上，试图利用被害者更有可能持有大量加密货币，并且能够接触到更广泛的资源。 专注于防止供应链攻击的公司 Socket 的研究人员已识别出一场针对加密货币开发者的广泛活动：通过感染的包，覆盖 npm、PyPI 和 Crates.io。 该活动名为 Trapdoor，供应链攻击在这些开发环境中共涉及 34 个包，覆盖超过 384 个版本，其中一些仍在可用。Socket

ASIC 警告公众，利用社交媒体广告和消息平台的加密骗局数量正在上升。 一项调查发现，这些骗局主要针对 Z 世代。 澳大利亚证券与投资委员会（ASIC）近日发布公告，提醒消费者日益增加的利用社交媒体平台和即时通讯应用实施加密骗局的现象。监管机构披露，这些欺诈活动中的大多数都将矛头对准 Z 世代。 社交媒体和消息应用中的加密骗局 据 ASIC 称，使用社交媒体和消息应用的诈骗者数量正在增长。该机构特别提到 WhatsApp 是其运作中一个受欢迎的渠道。 通常，诈骗者会利用定向的社交媒体广告和帖子来诱骗潜在受害者。随后，施害者会鼓励与广告和帖子互动的人去联系，并注册他们自己创建的交易平台。 ADVERTISEMENT 该虚假的交易平台通常会展示利润和活跃交易，以吸引受害者。尽管如此，那里显示的数据全是假的。 在相关交易平台上投资的受害者，起初会在他们的交易中看到利润，这会诱使他们投入更多资金以提高筹码，并抱有几乎有保障的回报。 由于这些平台既不进行实际交易，也不产生收益，客户投入的钱会直接进入诈骗者的银行账户。更糟的是，坏人还会在用户试图提取资金和收益时收取提款费用，从而进一步放大受害者的

开场 据安全公司 Blockaid 和 PeckShield 称，某第三方 Gnosis Safe 模块在以太坊 Ethereum 和 Base 上遭到利用，在大约两小时内从 86 个 Safes 中耗尽约 320 万美元。被利用的合约在 Basescan 上以“SquidRouterModule”名义完成验证，但该合约并非由跨链协议 Squid 构建、部署或运营。Squid 联合创始人 Fig 在 X 上澄清：“名为 SquidRouterModule 的合约与 Squid 无关。我们目前不知道是谁编写或部署了它。”该漏洞之所以成功，是因为该模块将调用者提供的常量字符串作为消息安全的证明，从而让攻击者能够执行任意 calldata，并在没有签名的情况下花费受害者 Safes 中持有的代币。此次事件反映了 DeFi 领域持续存在的安全漏洞：该领域在 2026 年已记录超过 7.7 亿美元的损失；仅 4 月就记录了大约 30 起事件，且被盗走超过 6.3 亿美元。 利用机制 脆弱的 SquidRouterModule 接受调用者提供的常量字符串，作为消息安全的加密证明。通过传入该字符串，

根据比特币记者 Joe Nakamoto 的说法，法国截至 2026 年已记录 41 起与加密货币相关的绑架事件，约等于每两天半发生一起，并占已知全球“勒索撬门”攻击的约 70%。所谓“勒索撬门”攻击，指针对加密货币持有者以逼其交出私钥和数字资产而实施的实体暴力、绑架、入室搜查或勒索。激增引起了对高知名度受害者的关注，包括 Ledger 联合创始人 David Balland（于 2025 年 1 月被绑架）以及加密货币高管的亲属，如 Paymium 的 Pierre Noizat 和 The Sandbox 的 Sebastien Borget。 据法国国家检察官 Vanessa Perrée 称，法国当局已因与加密货币相关的“勒索撬门”攻击逮捕至少 88 人。在一次近期行动中，警方逮捕了 24 名与多起绑架案件有关的嫌疑人。安全专家认为，此类案件上升的部分原因与“了解你的客户”数据收集有关，指出 2020 年 Ledger 客户数据泄露事件暴露了全球 270,000 多名客户的姓名和家庭住址。

据安全公司 Blockaid 称，5 月 25 日，部署在以太坊和 Base 网络上的 SquidRouterModule 遭到攻击，约在两小时内被掏空了 86 个 Gnosis Safe 钱包，损失约 300 万美元。随后，攻击者通过他们控制的 Uniswap V3 流动性池将所有被盗代币兑换为 DAI，并将资金汇总到一个地址中；该地址目前持有约 307 万美元等值的 DAI。

据 PeckShield 称，Ethereum 上的 WUSD/GLOVE 交易对近日遭到约 20.7 万美元的利用攻击。攻击者将被盗资产兑换为约 98 ETH，并将其存入 Railgun。

开场 据区块链分析公司 Blockaid 称，欧洲稳定币基础设施提供商 StablR 在发生严重安全漏洞后遭受重创。未获授权的攻击者入侵了管理该平台主要智能合约的管理式治理层，目标是以太坊主网上的合约。据称，攻击者利用了一个薄弱的“三选一”多重签名配置以获得对平台铸币功能的控制权，完全不需要抵押即可生成 8.35 million USDR 和 4.5 million EURR 代币。漏洞引发了剧烈的市场脱钩（depeg）：USDR 跌至 70 美分，EURR 下滑 12%，约至 88 美分。与此同时，冻结了去中心化交易所（DEX）上的标准赎回机制。 漏洞机制：私钥被攻破与弱多重签名配置 区块链安全调查人员确认，根本原因源自管理式治理阈值不足。StablR 的核心资产发行流水线采用“三选一”多重签名配置模型，这意味着攻击者只需攻破一个单独的加密签名者密钥，就能实现完全的管理式控制。攻击者并不是去识别协议交易逻辑中的漏洞，而是将重点放在攻破平台的私钥基础设施上。拿到单个密钥后，他们重新配置钱包参数，使剩余合法签名者与治理机制隔离，从而锁定对平台的结构性接管。 无抵押代币铸造与资产外流 在铸

据 Slow Mist 称，5 月 25 日，安全公司 MistEye 检测到一起针对加密货币、DeFi、Solana、Sui/Move 和 AI 开发者的跨注册表供应链攻击。攻击者在 npm、PyPI 和 crates.io 上部署了超过 34 个恶意包以及 384+ 个相关版本。恶意载荷可窃取加密货币钱包、SSH 密钥、云凭证、GitHub/AWS 令牌、浏览器数据、环境变量以及开发者机密。部分载荷还试图通过 .cursorrules、CLAUDE.md、Git hooks、shell hooks、cron、systemd 和 SSH 建立持久性。

开场 根据近期调查报道以及执法数据，法国已成为针对加密货币的线下勒索（通常称为拧手攻击）在全球范围内的主要集中地。拧手攻击被定义为一种情形：不法分子通过物理胁迫、入室侵扰或绑架，绕过加密防御，迫使受害者转移其私钥。法国在这些被记录的线下袭击中占据惊人的七成份额，位居全球首位。这一变化反映出区域有组织犯罪集团的有目的演变——他们已从低利润的街头犯罪和高风险的银行抢劫，转向利用链上资产转移不可逆且高价值的特性。这些攻击的集中程度表明，数字资产财富与西欧的传统线下犯罪发生了交集，从而在该地区为加密货币持有人带来了严峻的安全挑战。 监管框架与数据剥削 将法国转变为数字资产分配者的高风险作业环境的根本催化剂，源于历史性的企业数据泄露与集中式金融监管监视框架的共同作用。安全分析师指出，严格的全国性数据采集义务在无意中创建了规模庞大的集中式个人元数据仓库。当大型数字资产平台、税务登记系统或硬件钱包制造商遭遇安全漏洞时，包含真实姓名、已验证电话号码以及精确住址的高价值名单，往往会涌入非法暗网市场。有组织的犯罪网络会系统性地购买并分析这些泄露数据，以便交叉核对身体所在地坐标与被怀疑的净资产。结果是，遵守

Wietse Wind，XRPL 开发者以及 Xaman Wallet 创始人，于 2026 年 5 月 25 日发布了安全警告，提醒 XRP 持有者一场快速扩张的钓鱼活动正在面向钱包用户和散户投资者发起攻击。诈骗者每天制造超过 20 个虚假的 X/推特账户以及 10 个以上的诈骗域名，冒充 Xaman Wallet，并推广伪造的桌面钱包和旨在窃取资金的虚假 XRP 空投。Wind 在公开声明中强调：“没有桌面钱包！没有空投……保持警惕！” 该活动特别针对那些在寻找钱包支持、免费 XRP 赠送，或下载桌面钱包的缺乏经验用户。截至发出警告时，XRP 交易价格接近 $1.35，社区讨论聚焦于钱包安全，而非价格走势。 诈骗手法和攻击方式 这场钓鱼活动采用多种手段来攻破用户钱包。诈骗者推广伪造的 Xaman Wallet 桌面版本，并宣传虚假的 XRP 空投，承诺向连接钱包或签署交易的用户发放免费代币。当用户批准恶意签名请求时，攻击会升级——攻击者获得授权后可立即抽走钱包余额。Wind 透露，诈骗者还会发送伪造的支持消息、钓鱼邮件和诈骗 NFT，引诱用户点击恶意链接。 Wind 表示，Xama

据报道，Verus-Ethereum 桥于 5 月 18 日遭受 1100 万美元黑客攻击，攻击者在此期间窃取了 103.6 tBTC、1,625 ETH 和 147,000 USDC，并将这些资产兑换和整合到一个单一钱包中。 跨链桥已成为加密生态中的主要安全漏洞，反复出现针对其验证基础设施的攻击。4 月，通过 LayerZero 协议的 KelpDAO 黑客攻击导致 rsETH 代币损失 2.92 亿美元。此外，MAP Protocol 于 5 月 21 日在发现通过合约利用导致异常的 MAPO 代币铸造后，叫停了其 Butter Bridge。安全专家警告称，桥漏洞正从简单的代码利用演变为对支撑跨链消息与资产验证的信任系统发起攻击。

据 Odaily 称，XRPL 开发者 Wietse Wind 最近提醒 XRP 社区，防范针对 Xaman Wallet 用户的欺诈计划。骗子正在推广伪造的桌面钱包应用，并伪造空投活动，以诱骗用户连接钱包或下载恶意软件，可能导致资金被盗。Wind 建议用户避免将钱包连接到可疑网站，并不要下载任何未经授权的应用，以保护资产。

XRPL 開發者、Xaman 錢包創辦人 Wietse Wind 於 5 月 23 日在 X 緊急安全警告，確認每日新出現超過 20 個冒充 Xaman Wallet 的虛假 X 帳號，以及超過 10 個新建的詐騙域名，詐騙者通過推廣不存在的 Xaman 桌面錢包和虛假空投活動，誘導用戶連接錢包或簽署交易以竊取資金。 詐騙規模與攻擊手段：Wietse Wind 確認的已知模式 Wind 的 X 帖文確認了以下詐騙活動的規模和手段： 規模：每日 20+ 個假 X 帳號冒充 Xaman Wallet；每日 10+ 個新詐騙域名建立；詐騙團隊會持續創建新帳號繞過舉報和封禁。 已確認的詐騙載體：假桌面錢包推廣（Xaman 從未發布過桌面版本）；虛假空投活動（Xaman 無任何官方空投計劃）；假瀏覽器插件（所有 Xaman 瀏覽器插件均為詐騙，Xaman 通過二維碼與生態系統交互無需插件）；要求連接錢包或簽署交易以領取免費代幣的網站；假冒客服帳號或通過私訊聯繫用戶；攜帶誤導性訊息的詐騙 NFT。 Xaman 的正式回應：Wind 和團隊會持續舉報所有已識別的詐騙帳號，但仍建議用戶保持警覺，因為新