)
一、核心洞察
本周Web3行业遭遇严峻的安全与宏观双重压力。黑客手段从合约漏洞转向长期社会工程与内部运营渗透。DeFi上半年黑客损失已超8.4亿美元,同比增长70%,且攻击向高频、小额、针对人类操作层的趋势演变。宏观层面,美联储转向加息预期急速升温,市场定价年底前加息两次,引发风险资产抛售。监管上,欧盟MiCA过渡期即将结束,美国稳定币法案细则出台,对行业长期合规框架形成深远影响。安全范式正从合约审计转向运营安全与人因防御,AI模型被用于自主漏洞利用的风险也已成现实。
二、要闻速览
- G7峰会联合声明,严厉打击朝鲜加密货币盗窃洗钱网络
- 欧盟MiCA过渡期7月1日结束75%旧平台或面临清退
- Secret Network跨链桥无限铸币漏洞被盗467万美元
- WLFI获OCC联邦信托银行牌照在即,稳定币USD1即将推出
- Anthropic最强模型Fable 5与Mythos 5遭白宫出口管制封禁
- 伊利诺伊州成美国首个对数字资产交易征税的州
- Secret Network跨链桥因无限铸造漏洞被盗467万美元
- 美国稳定币GENIUS Act实施细则草案发布,强化KYC制度
- jaredfromsubway因授权漏洞被反向攻击
- 欧盟新反洗钱规则2027年实施,对隐私币及匿名账户下禁令
三、全域动态
1. 安全事件
大规模协议攻击
Secret Network 跨链桥无限铸币漏洞损失467万美元
自2023年部署未审计的ICS-20合约因缺乏来源验证,攻击者伪造IBC消息铸造saTokens后赎回真实资产,攻击持续7天才被发现。
Namada 遭攻击损失60万美元
数小时内Cosmos生态又一协议遭袭,攻击细节暂未公布,社区要求黑客归还资金,安全信心再受冲击。
针对开发者的npm包供应链攻击愈发猖獗
Mastra AI的140余个npm包遭受投毒,攻击者在安装时即可触发恶意代码,窃取环境变量和加密钱包扩展凭证。同期,Red Hat的多个npm包也被发现被注入了凭据窃取程序。
智能合约漏洞与跨链桥攻击
BnbLabubu 合约漏洞被盗约111.5万美元
OLPCToken转账函数设计缺陷导致每次转帐销毁池内资产,攻击者通过操控decimalsValue大幅拉升币价后套利。
mySwap 在Starknet上被利用损失30.5万美元
攻击者部署假“EVIL”代币并利用CL合约漏洞操纵流动性池会计,抽走池内ETH、STRK等资产,协议称该界面已停用半年。
Aztec L2 旧合约漏洞被盗215万美元
已废弃的支付合约PrivateRollupBridge存在零知识证明绑定缺陷,攻击者构造假Merkle树伪造资产取出,成本仅0.134 ETH。
THORChain 因安全漏洞停摆超一个月
5月15日一名恶意节点利用GG20 TSS漏洞窃取约1070万美元,至今网络交易完全停滞,恢复时间未定,社区质疑风险管理。
Staking 合约含隐藏后门被 rug pull
部署者预留特权地址绕过onlyOwner权限,在上线后利用该后门卷走质押资金,凸显开源代码审查的盲区。
Counterstake 桥遭遇治理攻击
攻击者利用少量资金发起提案企图将挑战期从3天缩短至1秒,社区需紧急投票防御,否则桥内资产面临被盗风险。
钓鱼、恶意软件与前端攻击
Gitcoin 子域名遭 Eleven drainer 前端攻击
恶意代码通过入侵子域名注入,用户连接钱包即触发资产窃取,项目方正在进行调查。
Kiwi SOL 窃取器使用 Lighthouse 绕过检测
新型窃取器针对Solana,集成C2 API和OAuth适配器,利用Lighthouse协议漏洞绕过钱包安全提示。
Windows 剪贴板恶意木马 CryptoBandits 活跃
微软揭露该木马自2026年2月通过USB传播,每500毫秒监控剪贴板,窃取助记词并替换钱包地址,通过Tor匿名通信。
LLM 路由器劫持注入恶意调用盗取钱包
26个LLM路由器被发现向AI代理注入恶意工具调用,从而窃取加密钱包资产,强调代理基础设施的安全风险。
MEV 与套利攻击
JaredFromSubway MEV 机器人遭反向利用,损失超1500万美元
攻击者部署假包装代币和流动性池,利用机器人的自动化授权逻辑,诱导其授予无限额度后一次性抽空资金。
2. 政策监管
监管动态
SEC 释放加密友好信号,强调从执法转向合作
SEC主席在首期播客中联合多位委员表示2026年监管将转向“合作与创新导向”,并致力于使美国成为加密创新首选地。
美国发布稳定币 GENIUS Act 实施细则草案
美联储、财政部等联合发布草案,要求稳定币发行商遵守BSA并实施CIP,二级市场交易是否纳入KYC正在征询意见。
美国国会拟成立数字货币盗窃工作组
众议员提出法案,拟在司法部内重建加密犯罪工作组,协调调查与起诉加密盗窃、诈骗及洗钱案件。
伊利诺伊州将成全美首个征收数字资产交易税的州
2027年1月起对经纪人征收0.2%从业税,预计年收入6000万美元,行业团体批评其程序缺陷且具有经济破坏性。
欧盟 2027 年起实施新反洗钱规则,全面禁止隐私币
条例要求CASP对超1000欧元交易强化KYC,禁止匿名账户及隐私币服务,并设1万欧元现金支付上限。
3. 项目动态
多链 DEX Satori Finance 宣布关闭
因收入不足,平台要求用户7月16日前提款,总锁仓量从670万美元峰值跌至120万美元。
Hyperbridge 遭 250 万美元漏洞后续
跨链协议放弃修补,完全重构为无许可证明生成、无管理员密钥的新架构,并加入LayerZero适配器。
FTX 破产时 20 万卖出的 Cursor 5% 股份,现价值超 30 亿
SpaceX 以600亿美元收购AI编程助手Cursor的开发商Anysphere,凸显破产程序中资产贱卖的巨大机会成本。
ORE 质押计划出现合约漏洞,提醒用户注意
社区报告漏洞可能影响质押资产安全,呼吁暂停挖矿并等待项目方修复。
4. 公链/基础设施
量子威胁升级:7110 亿美元加密资产已暴露风险
研究显示,谷歌计算在50万量子比特下9分钟即可攻破BTC,地址以“1”或“3”开头的老地址处于风险区。
Polygon zkEVM 主网 Beta 版将于 7 月 1 日关停
官方要求用户在此之前提取所有资产,DeFi内锁定资金逾期无法取回,钱包余额将自动迁移至以太坊L1。
Algorand 发布抗量子升级路线图
目标2027-2028实现全链量子安全,应对未来量子威胁,成为首批主动防御的公链之一。
CobWebPay 用户数据库泄露,涉及 KYC 与资产信息
澳大利亚加密支付平台数据库被挂售,暴露1万余名用户手机、KYC、钱包余额及财务声明,风险极高。