核心洞察
本周安全威胁的逻辑发生了演变。攻击者正从挖掘“代码漏洞”转向渗透“人的信任”与“供应链接口”:Drift Protocol 因社工渗透损失 2.85 亿美元,axios 与 OpenClaw 频遭供应链攻击,均显示出以 Lazarus 为代表的国家级黑客组织正转入长线渗透模式。与此同时,外部地缘冲突(中东局势)诱发的能源与通胀焦虑,与加密市场内部的代币增发过剩、大户套牢等结构性问题产生共振,进一步打开了市场的下行空间。
要闻速览
- Drift Protocol遭社会工程攻击失窃2.85亿美元。
- 朝鲜黑客去年盗取16.6亿美元,本周攻击Axios npm包。
- Circle被指控未及时冻结4.2亿美元被盗USDC。
- 美伊冲突持续,霍尔木兹海峡航运受阻致油价飙升。
- 比特币Q1下跌23.8%,创2018年以来最差季度表现。
- 澳大利亚通过首部加密监管法案,要求交易所持牌。
- AI交易代理被攻击,损失4500万美元。
- Resolv因链下私钥泄露被盗2300万美元。
- CFTC起诉三州,主张对预测市场拥有专属监管权。
- 以太坊将FOCIL纳入升级,以共识层编码抗审查性。
全域动态
安全事件
社会工程学与高级持续性威胁 (APT)
Drift Protocol遭2.85亿美元社会工程攻击
Solana头部Perp DEX Drift Protocol遭疑似朝鲜黑客组织(Lazarus)历时六个月的深度渗透。攻击者伪装成量化交易公司,通过线下会议建立信任,最终通过恶意代码库和TestFlight应用入侵贡献者设备,利用预签名交易在12分钟内盗走2.85亿美元资产。此事件暴露了DeFi协议在权限管理和团队人员安全层面的致命弱点。
朝鲜黑客组织2025年盗取16.6亿美元加密货币
数据显示,以Lazarus Group为主的朝鲜黑客组织在2025年通过社会工程学和多签漏洞等手段,从Bybit、Phemex等平台盗取总计16.6亿美元加密货币,占全年被盗总额的60%。其攻击目的明确,旨在为导弹计划等国家项目提供资金,构成了持续性的国家级安全威胁。
axios npm库遭供应链攻击,植入远程访问木马 (RAT)
朝鲜黑客组织UNC1069(Sapphire Sleet)通过劫持Axios维护者账户,发布了恶意版本(1.14.1和0.30.4),植入依赖包“plain-crypto-js”,可在安装时自动部署跨平台RAT。Axios作为每周下载量超亿次的基础库,此次攻击对无数依赖它的Web3前端、钱包SDK和开发者环境构成广泛威胁。
Kraken用户因社会工程诈骗损失1820万美元
一名Kraken用户疑似遭遇钓鱼或社交工程诈骗,导致价值1820万美元的资产被转移。攻击者通过THORChain将资金从以太坊跨链至比特币网络。这再次提醒用户,即使使用中心化交易所,对账户的防护和警惕也至关重要。
供应链与基础设施攻击
OpenClaw被曝高危漏洞,面临供应链攻击风险
AI智能体平台OpenClaw被曝存在CVSS评分8.8的高危漏洞(CVE-2026-25253),其部分版本可能引入被投毒的axios依赖。该平台三个月内获得25万星标,暴露实例上万,其“高权限+外部输入”的架构在复杂部署中安全边界问题突出,已引起中国政府及安全机构的警告。
Mac平台Infiniti Stealer恶意软件通过虚假验证窃密
新型恶意软件Infiniti Stealer通过伪造Cloudflare验证页面,诱骗Mac用户在终端执行恶意命令,从而窃取浏览器凭证、加密货币钱包和开发者密钥。攻击手法隐蔽,绕过了系统常规安全警告,导致针对Mac用户的个人钱包盗窃案例激增。
Strapi插件与LiteLLM等遭供应链投毒
本周发生多起针对开源生态的供应链攻击。攻击者入侵了Strapi多个官方插件、Python包LiteLLM(日均下载数百万次)及NPM库,通过恶意代码窃取AWS密钥、SSH凭证、数据库密码和加密钱包等敏感信息,凸显开源依赖链的脆弱性。
技术漏洞与协议攻击
Resolv因链下私钥泄露被盗2300万美元
稳定币协议Resolv并未遭遇智能合约漏洞,而是由于其控制稳定币USR铸造审批服务的AWS私钥泄露。攻击者利用该权限无限铸造了8000万枚USR并套现,导致稳定币严重脱锚。14次合约审计未能防范此次链下基础设施风险。
AI交易代理遭攻击损失4500万美元
一个基于AI的交易代理遭遇漏洞攻击,损失4500万美元。具体细节未完全披露,但该事件凸显了AI与DeFi结合场景下的新型安全挑战,包括智能体对合约的异常交互、权限滥用或被恶意指令操控的风险。
BSC链上多个协议遭闪电贷与代理接管攻击
本周BSC链上安全事件频发:TMM交易对遭闪电贷攻击损失166万USDT;LML协议因价格操纵被窃95万美元;另有攻击者通过单笔交易完成代理合约接管,获得了对协议未来逻辑的升级控制权。这些攻击显示了BSC生态中部分项目在风控和合约管理上的不足。
Zcash修复沉睡近五年的650万美元漏洞
研究人员利用AI工具发现了一个自2020年7月就存在于Zcash节点软件中的关键漏洞,该漏洞允许攻击者清空其旧版Sprout资金池(约值650万美元)。幸运的是,漏洞在被利用前得到修复,团队向发现者奖励了价值5.1万美元的ZEC。
诈骗、庞氏与欺诈
BlockDAG Network被指控为庞氏骗局
知名链上调查员ZachXBT公开指控BlockDAG Network为专业骗局,称其通过长达三年的预售、夸大融资数据(号称4亿美元)、制造FOMO情绪吸金,并将资金通过中东OTC经纪人洗出。项目背后实际控制人被指为英籍土耳其商人Gurhan Kiziloz。
EdgeX被指控空投分配不公,涉嫌欺诈
Perp DEX项目EdgeX被社区指控其空投分配存在严重不公:前26个地址获得了14%的空投代币(价值超9000万美元),而大量社区参与者仅获得极少份额。项目被质疑团队内部操纵积分并高价OTC出售,上线后价格暴跌,使多数参与者蒙受损失。
印度曝出涉案3.15亿美元的加密诈骗案
印度西孟加拉邦警方逮捕了实业家Pawan Ruia,其涉嫌运营一个庞大的加密货币诈骗网络,涉及1379名受害者,涉案金额达3.15亿美元。诈骗资金通过壳公司和虚假投资应用转移至海外,反映出区域性加密诈骗的猖獗与复杂性。
宏观经济
美伊冲突升级,霍尔木兹海峡航运受阻冲击全球
伊朗与美国/以色列冲突进入第六周,伊朗多次发动导弹及无人机袭击,并威胁持续封锁霍尔木兹海峡。导致全球航运成本飙升11-12倍,布伦特原油价格一度突破130美元/桶。地缘政治风险溢价推高通胀预期,加剧全球市场波动。
比特币创2018年以来最差季度表现,巨鲸加速亏损
2026年第一季度比特币下跌23.8%,连续两个季度收跌。同时,链上数据显示,持有100-10,000枚BTC的“鲨鱼”和“巨鲸”地址第一季度已实现亏损高达309亿美元,接近2022年熊市水平,显示大额持有者正在加速止损离场。
加密行业面临“生存级”代币供给过剩问题
Blockworks联合创始人指出,加密行业代币供给增速远超价值创造,导致回报稀释和价格与基本面脱钩。超80%项目代币价格低于发行价,平均价值较2021年下跌约50%,收益日益向比特币、以太坊等头部资产集中,市场结构性失衡加剧。
美国3月CPI预期大涨,美联储降息难度增加
受中东冲突推高能源价格影响,经济学家预计美国3月CPI环比涨幅可能达1%,为2022年以来最大单月涨幅。核心PCE物价指数也显示通胀回落进程停滞。市场对美联储年内降息的预期进一步减弱,高利率环境持续压制风险资产。
政策监管
澳大利亚通过首部全面加密监管法案
澳大利亚正式通过《2025年公司修正案(数字资产框架)法案》,要求加密货币交易所和托管平台在六个月内向ASIC申请金融服务许可证,并遵守与传统金融机构相同的客户资产保护、信息披露和行为准则,标志着该国加密监管进入新阶段。
CFTC起诉三州,争夺预测市场专属管辖权
美国商品期货交易委员会(CFTC)联合司法部起诉伊利诺伊、康涅狄格和亚利桑那州,主张联邦政府对预测市场(如Polymarket、Kalshi)拥有专属监管权,反对各州将其定性为博彩进行限制。此举旨在消除市场不确定性,确立统一的监管框架。
Circle被指控合规失误,未及时冻结超4.2亿美元USDC
链上调查员ZachXBT发布报告,指控Circle自2022年以来在至少15起重大黑客事件中反应迟缓或未采取行动,导致超过4.2亿美元的被盗USDC未被及时冻结,其中包括Drift事件中的2.32亿美元。这引发市场对USDC“合规执行力”的广泛质疑。
柬埔寨将Huione诈骗主谋引渡至中国
柬埔寨当局将汇旺集团(Huione Pay)前董事长李雄引渡至中国。该网络被美国监管机构标记为洗钱主要关切方,涉嫌在2021至2025年间处理超40亿美元非法资金,为东南亚“杀猪盘”等诈骗活动提供关键洗钱基础设施。
技术前沿
以太坊确定将FOCIL纳入后续升级,编码抗审查性
以太坊基金会研究员宣布,FOCIL(EIP-7805)方案已确定纳入后续重大升级。该方案通过随机选择16名验证者组成委员会强制交易上链,将抗审查性从道德约定转为由共识层分叉规则强制执行,以应对当前超80%区块由少数构建者生产带来的中心化风险。
Keeta Network提出无智能合约代币化架构
Keeta Network提出一种新型架构,将代币发行、合规规则(如转移限制、时间锁)直接内置于协议层,而非通过用户部署的智能合约实现。该设计旨在从根本上减少因合约漏洞导致的安全事件和持续的审计成本,挑战现有以太坊范式。
项目动态
OpenAI完成1220亿美元巨额融资
OpenAI宣布完成新一轮融资,获得1220亿美元承诺资本,投后估值达到8520亿美元。资金将用于扩大AI能力规模,加速将“有用的智能”更广泛地交付给全球用户,显示了AI领域持续吸引巨额资本。
量子计算威胁引发加密社区关注
谷歌量子AI团队发布研究,称优化后的Shor算法未来可能在约9分钟内从公钥推导出比特币私钥,威胁交易安全。报告指出约690万枚早期BTC因公钥暴露而面临长期风险,呼吁行业在2029年前迁移至抗量子密码学。
