重明链迹丨每周区块链安全要闻(0629-0705)
一、核心洞察本周Web3 行业基础设施层密钥托管、私钥泄露及供应链攻击已成为压倒性的主要风险敞口损失占本周全部安全事件的 76% 以上。一个由 AI 代理工具投毒、深度伪造与社交工程组合而成的新型攻击加速形成。监管层面全球主要经济体进入了密集立法与执法期欧盟 MiCA 正式生效英国 FCA 发布最终监管框架美国关键加密立法进入最后窗口期行业合规竞合趋势。宏观层Coinbase 比特币溢价指数创下连续 48 日负值的历史纪录显示出美国机构资金的持续离场与避险情绪的显著上升叠加对 Strategy 可能出售比特币储备的叙事冲击市场信心正经历牛熊转折以来最严峻的考验。二、要闻速览• 2026 年 Q1 Web3 因安全事件损失超 20 亿美元密钥泄露成主因• 研究人员发现 TSS 临界签名漏洞可威胁 700 亿美元加密资产• 恶意浏览器扩展窃取种子词约 850 万美元被盗• 欧盟 MiCA 正式生效数千未获牌照加密企业面临停运• 英国 FCA 发布最终加密监管框架强制性许可 2027 年实施• Strategy 授权出售最多 12.5 亿美元比特币永不抛售叙事瓦解• Coinbase 比特币溢价指数连续 48 日负值续创历史最长纪录• BTC 再度测试 5.9 万美元分析师警告若破位或下探 4 万美元• Robinhood Chain 主网上线同步推出 24/7 代币化股票交易• Aptos 紧急修复 Move VM 高危漏洞潜在风险敞口达 700 亿美元• 加密庞氏骗局病毒式爆发Vortic United 等多起跑路事件被引爆• 韩国 KOSPI 指数跌 8.2%半导体寒潮或传导至加密市场三、全域动态1. 安全事件基础设施与密钥安全TSS 临界签名方案发现致命漏洞两位研究人员利用仅 3000 美元的服务器发现了被 Fireblocks、Coinbase、Binance 等主流机构广泛采用的临界签名方案TSS中的严重缺陷。该漏洞可使攻击者窃取约 700 亿美元的加密资产彻底动摇了此前被视为固若金汤的机构托管安全假设。恶意浏览器扩展发动供应链攻击2,500 名用户被盗一款常用浏览器扩展在更新至 v2.68 版本时被植入恶意代码专门窃取用户的种子词。攻击者通过此供应链攻击盗取约 850 万美元的比特币、以太坊和 Solana 等资产。2025 年 Solana 钱包种子漏洞致 7 亿美元被盗尽管事件发生于去年但本周的深度复盘显示由于钱包生成代码中的随机性缺陷大量 Solana 钱包的种子短语可被轻易预测导致超过 7 亿美元的资金遭到洗劫凸显客户端侧安全的薄弱。Taiko L2 因 GitHub 密钥泄露被盗 170 万美元以太坊二层网络 Taiko 透露其 SGX 证明签名密钥因不慎提交至公共 GitHub 仓库而泄露攻击者利用该密钥伪造跨链消息最终窃取约 170 万美元。协议漏洞与闪电贷攻击Aptos 紧急修复价值 700 亿美元的 Move VM 高危漏洞Aptos 团队在收到安全公司报告后的数小时内成功修复了其 Move 虚拟机中的一个缓存失效漏洞。该漏洞攻击成本仅需数百美元成功率高达 90%可能威胁链上约 700 亿美元资产堪称一次成功的“拆弹行动”。Alkanes 协议遭攻击攻击者试图劫掠 82.3 枚 BTC比特币生态协议 Alkanes 遭遇攻击攻击者试图通过铸造无限量的 DIESEL 代币来虹吸协议金库中的 82.3 枚比特币。项目方迅速响应成功阻断攻击并恢复了系统未造成实际资金损失。Edel Finance 遭预言机操纵损失 40.3 万美元攻击者通过对 ERC-4626 金库份额汇率的闪电贷操纵将用作抵押品的代币化谷歌股票wGOOGLx估值人为抬高 7700%并借出大量真实资产在去中心化借贷市场中留下了一笔坏账。Circle USDC 多个零日漏洞攻击工具被公开出售有人在暗网论坛声称掌握了 USDC 合约的四个零日漏洞包括可创造无限量可花费 USDC 的“通货膨胀攻击”以及绕过黑名单冻结的转账功能等并发布视频证明其在测试网上有效引发市场对中心化稳定币合约后门风险的强烈担忧。AIDC 代币遭闪电贷攻击近 121 万美元被抽干BSC 链上的 AIDC 代币遭到闪电贷攻击攻击者利用 PancakeSwap 流动性池中的漏洞将约 220 枚 BNB约 12.1 万美元的资产盗走并清洗。诈骗、钓鱼与社会工程攻击AI 代理成为新型攻击载体“JADEPUFFER”勒索软件完全由 AI 驱动安全公司 Sysdig 披露了首例“代理型勒索软件”JADEPUFFER。攻击全程由一个大语言模型代理执行从漏洞利用、横向移动到数据库加密、勒索信创建一气呵成甚至在攻击过程中自主修复代码错误标志着网络犯罪的自动化程度已进入全新阶段。GitHub 上的假冒 Polymarket 交易机器人窃取加密钱包慢雾安全团队发现一个在 GitHub 上拥有超过 300 颗星的开源“Polymarket 交易机器人”实为木马。它内部潜藏 30 个恶意 npm 软件包专门用于窃取 MetaMask、Phantom 等钱包的种子词以及浏览器密码和 SSH 密钥已导致至少 53 名开发者受害。大规模诈骗模板量产逾 23.6 万个域名用于加密钓鱼安全研究揭示一个庞大的诈骗即服务SaaS供应链正在运转不法分子利用 DCloud Uni-App 模板批量生成了超过 236,493 个钓鱼域名用于仿冒加密交易所、WhatsApp 钓鱼和钱包盗取。XeggeX 交易所疑似退出骗局用户资金被卷跑老牌交易所 XeggeX 上演“慢镜头跑路”其先以“Telegram 被黑”为由暂停提现随后突然申请破产导致数千名小众币种交易者的资金被永久锁定。洗钱与执法行动Step Finance 攻击者清仓 2,140 万美元 SOL 并转入 Tornado Cash沉寂五个月后DeFi 协议 Step Finance 的攻击者一次性抛售了全部 261,933 枚 SOL并将所得跨链兑换为约 12,128 枚 ETH 后全部存入混币协议 Tornado Cash完成了手法的最终一环。OFAC 制裁 134 个 ISIS-K 加密钱包Tether 迅速冻结其中 131 个美国财政部将恐怖组织 ISIS-K 相关的 134 个加密钱包地址列入黑名单。稳定币发行商 Tether 反应迅速在同日即冻结了位于波场网络上的 131 个关联地址。2. 政策与监管全球监管框架密集落地欧盟 MiCA 正式生效数千家加密企业面临生死大考7 月 1 日欧盟《加密资产市场监管条例》MiCA全面实施。根据规定未取得 MiCA 牌照的加密服务商将被禁止在欧盟提供服务。此前在欧洲注册的 3000 余家加密企业中仅有 244 家获得牌照行业迎来最严峻的合规洗牌。英国 FCA 公布最终加密监管框架2027 年正式实施英国金融行为监管局FCA发布了其完整的加密资产监管框架将建立强制性授权许可制度并于 2027 年 10 月生效。新规展现了区别于 MiCA 的“全球通行”思路允许海外交易平台通过本地授权分支机构服务英国用户。澳大利亚加密“旅行规则”7 月生效所有交易需实名澳大利亚自 7 月起正式执行无金额门槛的“旅行规则”所有收发加密资产的交易均需提供交易对方姓名及平台名称向自托管钱包提币时还需声明地址所有权旨在全面围堵匿名链上资金流动。中国国家金融监管总局对众邦银行实施接管国内监管方面因出现严重信用风险国家金融监督管理总局联合湖北省人民政府决定对武汉众邦银行实施接管显示出在复杂经济环境下监管对金融机构风险处置的果断态度。美国 SEC 调查富途、老虎证券涉嫌内幕交易案美国证券交易委员会正在调查一起疑似在中国监管层 5 月 22 日打击跨境券商行动前利用内幕消息大举买入富途和老虎证券看跌期权并获利 1 亿美元的案件凸显了跨市场监管信息泄露的零容忍信号。3. 宏观经济与市场Coinbase 比特币溢价指数连续 48 日录得负值该指标已连续 48 天处于负值区间超越 2022 年“1011 崩盘”期间的记录成为有史以来最长的连负周期。这明确显示尽管全球比特币价格波动但美国本土合规市场的抛压异常沉重机构资金仍在持续离场。矿工流出量激增市场或已进入“分发阶段”CryptoQuant 数据显示BTC 矿工流出量在过去一周暴增 564%同时有大量“成熟供应”币龄 18-24 个月流入交易所。这种供应结构通常发生在市场由积累转向分发的早期阶段构成强烈的看跌信号。韩国 KOSPI 指数跌 8.2%半导体出口寒潮由于三星、SK 海力士等权重股大跌韩国 KOSPI 指数单日暴跌 8.2%触发临时停牌。此次暴跌反映出全球半导体行业和宏观经济的沉重压力这种悲观情绪正持续向包括加密市场在内的风险资产传导。4. 项目动态Strategy 授权可出售最多 12.5 亿美元比特币“永不卖出”叙事破产Strategy原 MicroStrategy推出其“数字信贷资本框架”董事会授权可在特定条件下出售最多 12.5 亿美元比特币以补充现金储备、支付优先股股息或进行证券回购。此举彻底瓦解了 Saylor 此前“永不卖出”的核心叙事被市场视为熊市流动性承压的标志性事件。Robinhood Chain 主网上线同步推出 24/7 代币化股票和永续合约Robinhood 正式推出由其营运的以太坊 L2 网络 Robinhood Chain并在此基础上推出 24/7 无间断的 token 化股票交易服务。Uniswap、Chainlink 等成为首批合作伙伴标志着传统金融与 DeFi 基础设施的深度融合进入新阶段。Gate 推出 gStocks 代币化证券支持 7x24 交易Gate 交易所正式上线“gStocks”服务以用户持有的原生股票为 1:1 底层资产创建代币化证券。首批支持美股、港股等标的并支持股票代币作为保证金参与杠杆借贷推动 RWA 叙事的实际落地。ENS 创始人否决安全委员会续任社区爆发治理危机ENS 联合创始人 Nick Johnson 利用其 80% 的投票权单方面否决了一项已被社区 Snapshot 投票通过的 ENS 安全委员会续任提案。此举引发了针对 ENS DAO 治理权力过度集中的猛烈抨击批评者称其“已名存实亡”。Loopring 宣布停止运营以太坊 zkRollup 先驱落幕曾被视为 zkRollup 技术先驱的以太坊 Layer2 项目 Loopring 正式发文告别其 L2 网络停止出块官方 Relayer 下线。官方承诺将在未来两周内通过快照方式将用户资产返还至 L1。5. 公链与基础设施Aptos 修复高危 Move 虚拟机漏洞避免百亿美元级灾难Aptos 成功修复了其虚拟机中的一个关键远程代码执行漏洞。若被黑客利用该漏洞将威胁链上高达 700 亿美元的资产。Aptos 在非公开报告数小时内即完成修复有效保障了网络生态安全。BTC 生态协议 Alkanes 成功抵御抽水式攻击展现安全韧性在 BTC 生态协议 Alkanes 遭遇攻击的事件中尽管攻击者试图通过合约漏洞无限铸造其核心代币以抽干金库但项目方通过快速响应和机制设计成功阻止了攻击并全额保护了背后的 82.3 BTC 储备。L2 网络 Taiko 因 GitHub 密钥泄露导致 170 万美元跨链窃取这是一次典型的非合约漏洞攻击。由于 Taiko 的一名开发人员不慎将 SGX 证明密钥提交至公共仓库攻击者利用该密钥伪造了跨链消息从而在目标链上盗走了约 170 万美元。Cardano 上 Ourodex 协议出现脚本攻击用户资产被盗Cardano 生态集成协议 Ourodex 遭到钓鱼脚本攻击一名用户在与其进行 SWAP 交互时被精心设计的恶意合约在一笔交易中同时完成了授权与转移导致价值约 14,481 枚 ASCEND 资产和 ADA 被一并盗走。DigiByte 区块链成功抵御 51% 攻击尝试老牌公链 DigiByte 在 24 小时内遭遇了多轮未遂的 51% 攻击但其链上核心防护技术 DigiShield 成功挫败了所有攻击区块链毫无中断地继续运行展现了其久经考验的网络安全性和技术韧性。