重明链迹丨每周区块链安全要闻(0629-0705)
一、核心洞察
本周,Web3 行业:基础设施层,密钥托管、私钥泄露及供应链攻击,已成为压倒性的主要风险敞口,损失占本周全部安全事件的 76% 以上。一个由 AI 代理工具投毒、深度伪造与社交工程组合而成的新型攻击加速形成。监管层面,全球主要经济体进入了密集立法与执法期:欧盟 MiCA 正式生效,英国 FCA 发布最终监管框架,美国关键加密立法进入最后窗口期,行业合规竞合趋势。宏观层,Coinbase 比特币溢价指数创下连续 48 日负值的历史纪录,显示出美国机构资金的持续离场与避险情绪的显著上升,叠加对 Strategy 可能出售比特币储备的叙事冲击,市场信心正经历牛熊转折以来最严峻的考验。
二、要闻速览
• 2026 年 Q1 Web3 因安全事件损失超 20 亿美元,密钥泄露成主因
• 研究人员发现 TSS 临界签名漏洞,可威胁 700 亿美元加密资产
• 恶意浏览器扩展窃取种子词,约 850 万美元被盗
• 欧盟 MiCA 正式生效,数千未获牌照加密企业面临停运
• 英国 FCA 发布最终加密监管框架,强制性许可 2027 年实施
• Strategy 授权出售最多 12.5 亿美元比特币,永不抛售叙事瓦解
• Coinbase 比特币溢价指数连续 48 日负值,续创历史最长纪录
• BTC 再度测试 5.9 万美元,分析师警告若破位或下探 4 万美元
• Robinhood Chain 主网上线,同步推出 24/7 代币化股票交易
• Aptos 紧急修复 Move VM 高危漏洞,潜在风险敞口达 700 亿美元
• 加密庞氏骗局病毒式爆发,Vortic United 等多起跑路事件被引爆
• 韩国 KOSPI 指数跌 8.2%,半导体寒潮或传导至加密市场
三、全域动态
1. 安全事件
基础设施与密钥安全
TSS 临界签名方案发现致命漏洞
两位研究人员利用仅 3000 美元的服务器,发现了被 Fireblocks、Coinbase、Binance 等主流机构广泛采用的临界签名方案(TSS)中的严重缺陷。该漏洞可使攻击者窃取约 700 亿美元的加密资产,彻底动摇了此前被视为固若金汤的机构托管安全假设。
恶意浏览器扩展发动供应链攻击,2,500 名用户被盗
一款常用浏览器扩展在更新至 v2.68 版本时被植入恶意代码,专门窃取用户的种子词。攻击者通过此供应链攻击盗取约 850 万美元的比特币、以太坊和 Solana 等资产。
2025 年 Solana 钱包种子漏洞致 7 亿美元被盗
尽管事件发生于去年,但本周的深度复盘显示,由于钱包生成代码中的随机性缺陷,大量 Solana 钱包的种子短语可被轻易预测,导致超过 7 亿美元的资金遭到洗劫,凸显客户端侧安全的薄弱。
Taiko L2 因 GitHub 密钥泄露被盗 170 万美元
以太坊二层网络 Taiko 透露,其 SGX 证明签名密钥因不慎提交至公共 GitHub 仓库而泄露,攻击者利用该密钥伪造跨链消息,最终窃取约 170 万美元。
协议漏洞与闪电贷攻击
Aptos 紧急修复价值 700 亿美元的 Move VM 高危漏洞
Aptos 团队在收到安全公司报告后的数小时内,成功修复了其 Move 虚拟机中的一个缓存失效漏洞。该漏洞攻击成本仅需数百美元,成功率高达 90%,可能威胁链上约 700 亿美元资产,堪称一次成功的“拆弹行动”。
Alkanes 协议遭攻击,攻击者试图劫掠 82.3 枚 BTC
比特币生态协议 Alkanes 遭遇攻击,攻击者试图通过铸造无限量的 DIESEL 代币来虹吸协议金库中的 82.3 枚比特币。项目方迅速响应,成功阻断攻击并恢复了系统,未造成实际资金损失。
Edel Finance 遭预言机操纵,损失 40.3 万美元
攻击者通过对 ERC-4626 金库份额汇率的闪电贷操纵,将用作抵押品的代币化谷歌股票(wGOOGLx)估值人为抬高 7700%,并借出大量真实资产,在去中心化借贷市场中留下了一笔坏账。
Circle USDC 多个零日漏洞攻击工具被公开出售
有人在暗网论坛声称掌握了 USDC 合约的四个零日漏洞,包括可创造无限量可花费 USDC 的“通货膨胀攻击”以及绕过黑名单冻结的转账功能等,并发布视频证明其在测试网上有效,引发市场对中心化稳定币合约后门风险的强烈担忧。
AIDC 代币遭闪电贷攻击,近 121 万美元被抽干
BSC 链上的 AIDC 代币遭到闪电贷攻击,攻击者利用 PancakeSwap 流动性池中的漏洞,将约 220 枚 BNB(约 12.1 万美元)的资产盗走并清洗。
诈骗、钓鱼与社会工程攻击
AI 代理成为新型攻击载体,“JADEPUFFER”勒索软件完全由 AI 驱动
安全公司 Sysdig 披露了首例“代理型勒索软件”JADEPUFFER。攻击全程由一个大语言模型代理执行,从漏洞利用、横向移动到数据库加密、勒索信创建一气呵成,甚至在攻击过程中自主修复代码错误,标志着网络犯罪的自动化程度已进入全新阶段。
GitHub 上的假冒 Polymarket 交易机器人窃取加密钱包
慢雾安全团队发现一个在 GitHub 上拥有超过 300 颗星的开源“Polymarket 交易机器人”实为木马。它内部潜藏 30 个恶意 npm 软件包,专门用于窃取 MetaMask、Phantom 等钱包的种子词以及浏览器密码和 SSH 密钥,已导致至少 53 名开发者受害。
大规模诈骗模板量产,逾 23.6 万个域名用于加密钓鱼
安全研究揭示,一个庞大的诈骗即服务(SaaS)供应链正在运转,不法分子利用 DCloud Uni-App 模板批量生成了超过 236,493 个钓鱼域名,用于仿冒加密交易所、WhatsApp 钓鱼和钱包盗取。
XeggeX 交易所疑似退出骗局,用户资金被卷跑
老牌交易所 XeggeX 上演“慢镜头跑路”,其先以“Telegram 被黑”为由暂停提现,随后突然申请破产,导致数千名小众币种交易者的资金被永久锁定。
洗钱与执法行动
Step Finance 攻击者清仓 2,140 万美元 SOL 并转入 Tornado Cash
沉寂五个月后,DeFi 协议 Step Finance 的攻击者一次性抛售了全部 261,933 枚 SOL,并将所得跨链兑换为约 12,128 枚 ETH 后,全部存入混币协议 Tornado Cash,完成了手法的最终一环。
OFAC 制裁 134 个 ISIS-K 加密钱包,Tether 迅速冻结其中 131 个
美国财政部将恐怖组织 ISIS-K 相关的 134 个加密钱包地址列入黑名单。稳定币发行商 Tether 反应迅速,在同日即冻结了位于波场网络上的 131 个关联地址。
2. 政策与监管
全球监管框架密集落地
欧盟 MiCA 正式生效,数千家加密企业面临生死大考
7 月 1 日,欧盟《加密资产市场监管条例》(MiCA)全面实施。根据规定,未取得 MiCA 牌照的加密服务商将被禁止在欧盟提供服务。此前在欧洲注册的 3000 余家加密企业中,仅有 244 家获得牌照,行业迎来最严峻的合规洗牌。
英国 FCA 公布最终加密监管框架,2027 年正式实施
英国金融行为监管局(FCA)发布了其完整的加密资产监管框架,将建立强制性授权许可制度,并于 2027 年 10 月生效。新规展现了区别于 MiCA 的“全球通行”思路,允许海外交易平台通过本地授权分支机构服务英国用户。
澳大利亚加密“旅行规则”7 月生效,所有交易需实名
澳大利亚自 7 月起正式执行无金额门槛的“旅行规则”,所有收发加密资产的交易均需提供交易对方姓名及平台名称,向自托管钱包提币时还需声明地址所有权,旨在全面围堵匿名链上资金流动。
中国国家金融监管总局对众邦银行实施接管
国内监管方面,因出现严重信用风险,国家金融监督管理总局联合湖北省人民政府决定对武汉众邦银行实施接管,显示出在复杂经济环境下,监管对金融机构风险处置的果断态度。
美国 SEC 调查富途、老虎证券涉嫌内幕交易案
美国证券交易委员会正在调查一起疑似在中国监管层 5 月 22 日打击跨境券商行动前,利用内幕消息大举买入富途和老虎证券看跌期权并获利 1 亿美元的案件,凸显了跨市场监管信息泄露的零容忍信号。
3. 宏观经济与市场
Coinbase 比特币溢价指数连续 48 日录得负值
该指标已连续 48 天处于负值区间,超越 2022 年“1011 崩盘”期间的记录,成为有史以来最长的连负周期。这明确显示,尽管全球比特币价格波动,但美国本土合规市场的抛压异常沉重,机构资金仍在持续离场。
矿工流出量激增,市场或已进入“分发阶段”
CryptoQuant 数据显示,BTC 矿工流出量在过去一周暴增 564%,同时有大量“成熟供应”(币龄 18-24 个月)流入交易所。这种供应结构通常发生在市场由积累转向分发的早期阶段,构成强烈的看跌信号。
韩国 KOSPI 指数跌 8.2%,半导体出口寒潮
由于三星、SK 海力士等权重股大跌,韩国 KOSPI 指数单日暴跌 8.2%,触发临时停牌。此次暴跌反映出全球半导体行业和宏观经济的沉重压力,这种悲观情绪正持续向包括加密市场在内的风险资产传导。
4. 项目动态
Strategy 授权可出售最多 12.5 亿美元比特币,“永不卖出”叙事破产
Strategy(原 MicroStrategy)推出其“数字信贷资本框架”,董事会授权可在特定条件下出售最多 12.5 亿美元比特币,以补充现金储备、支付优先股股息或进行证券回购。此举彻底瓦解了 Saylor 此前“永不卖出”的核心叙事,被市场视为熊市流动性承压的标志性事件。
Robinhood Chain 主网上线,同步推出 24/7 代币化股票和永续合约
Robinhood 正式推出由其营运的以太坊 L2 网络 Robinhood Chain,并在此基础上推出 24/7 无间断的 token 化股票交易服务。Uniswap、Chainlink 等成为首批合作伙伴,标志着传统金融与 DeFi 基础设施的深度融合进入新阶段。
Gate 推出 gStocks 代币化证券,支持 7x24 交易
Gate 交易所正式上线“gStocks”服务,以用户持有的原生股票为 1:1 底层资产,创建代币化证券。首批支持美股、港股等标的,并支持股票代币作为保证金参与杠杆借贷,推动 RWA 叙事的实际落地。
ENS 创始人否决安全委员会续任,社区爆发治理危机
ENS 联合创始人 Nick Johnson 利用其 80% 的投票权,单方面否决了一项已被社区 Snapshot 投票通过的 ENS 安全委员会续任提案。此举引发了针对 ENS DAO 治理权力过度集中的猛烈抨击,批评者称其“已名存实亡”。
Loopring 宣布停止运营,以太坊 zkRollup 先驱落幕
曾被视为 zkRollup 技术先驱的以太坊 Layer2 项目 Loopring 正式发文告别,其 L2 网络停止出块,官方 Relayer 下线。官方承诺将在未来两周内通过快照方式将用户资产返还至 L1。
5. 公链与基础设施
Aptos 修复高危 Move 虚拟机漏洞,避免百亿美元级灾难
Aptos 成功修复了其虚拟机中的一个关键远程代码执行漏洞。若被黑客利用,该漏洞将威胁链上高达 700 亿美元的资产。Aptos 在非公开报告数小时内即完成修复,有效保障了网络生态安全。
BTC 生态协议 Alkanes 成功抵御抽水式攻击,展现安全韧性
在 BTC 生态协议 Alkanes 遭遇攻击的事件中,尽管攻击者试图通过合约漏洞无限铸造其核心代币以抽干金库,但项目方通过快速响应和机制设计,成功阻止了攻击并全额保护了背后的 82.3 BTC 储备。
L2 网络 Taiko 因 GitHub 密钥泄露导致 170 万美元跨链窃取
这是一次典型的非合约漏洞攻击。由于 Taiko 的一名开发人员不慎将 SGX 证明密钥提交至公共仓库,攻击者利用该密钥伪造了跨链消息,从而在目标链上盗走了约 170 万美元。
Cardano 上 Ourodex 协议出现脚本攻击,用户资产被盗
Cardano 生态集成协议 Ourodex 遭到钓鱼脚本攻击,一名用户在与其进行 SWAP 交互时,被精心设计的恶意合约在一笔交易中同时完成了授权与转移,导致价值约 14,481 枚 ASCEND 资产和 ADA 被一并盗走。
DigiByte 区块链成功抵御 51% 攻击尝试
老牌公链 DigiByte 在 24 小时内遭遇了多轮未遂的 51% 攻击,但其链上核心防护技术 DigiShield 成功挫败了所有攻击,区块链毫无中断地继续运行,展现了其久经考验的网络安全性和技术韧性。