安全事件

根據 The Block，LayerZero 於週五就其處理 4 月 18 日的漏洞事件發表公開道歉。該事件從 Kelp DAO 的跨鏈橋遭竊約 2.92 億美元的 rsETH。該協議承認，允許其去中心化驗證者網路（Decentralized Verifier Network，DVN）作為高價值交易的唯一驗證者是其失誤；並撤回先前將責任歸咎於 Kelp DAO 的配置選擇的立場。 LayerZero 公布了多項補救措施：LayerZero Labs 的 DVN 不再提供 1/1 DVN 設定；預設設定正在遷移，盡可能至少需要五名驗證者，且下限為三；公司也將其多重簽章門檻從 3-of-5 提升為 7-of-10。該協議另披露了一起先前未被報導的作業安全事件，時間距今 3.5 年，內容涉及一名多重簽章簽署者誤用生產用硬體進行個人交易。LayerZero 表示，此次漏洞事件影響了網路上約 0.14% 的全部應用程式。

根據 CertiK，加密「扳手」（wrench）攻擊受害者在 2026 年前四個月約損失 1.01 億美元，且趨勢預計在全年達到數億美元。這家安全公司核實了全球 34 起事件，比 2025 年同期間增加 41%，其中 82% 集中在歐洲。 值得注意的是，超過一半的核實事件涉及主要目標的家人，包括配偶、子女或年長父母，既可能作為直接受害者，也可能作為施壓手段。CertiK 指出，攻擊者正日益採用以數據驅動的鎖定方式，從線上掮客處購買受害者資訊，以降低對實體監控的依賴。

根據 ChainCatcher，Tether 的 USDT0 協議在 Kelp 事件後揭露其安全架構，並實作一種 3/3 驗證共識機制，要求使用獨立的三位驗證者且採用不同的程式碼基底。目前的驗證節點包括 USDT0 的專有 DVN、LayerZero 和 Canary。該協議在 Immunefi 上宣布一項 600 萬美元的利潤/漏洞獎金計畫，所有多重簽名交易都需要由內部團隊、外部安全公司以及稽核人員進行審查。合約已由 Guardian 與 OpenZeppelin 完成稽核。

根據 ChainCatcher 的說法，2 月份在馬來西亞加央（Kajang）一處租用別墅遭警方突擊後，8 名中國公民被迫轉移約 50,000 USDT。警方聲稱嫌疑人涉及詐欺，隨後逮捕了涉案的 12 名警官，並將其移出現職。然而，調查仍因等待技術報告與數位鑑識結果而停滯不前。律師 Charles 代表受害者表示，調查進展過於緩慢，自警官被捕後一直沒有更新；他警告可能存在內部干預，並威脅一旦出現疑似掩蓋的證據，將向馬來西亞反貪污委員會提出投訴。

根據 BlockBeats，12 名馬來西亞警方人員在 2026 年 2 月於雪蘭莪州加影的出租別墅突擊搜查後，涉嫌搶劫中國公民，涉款約 5 萬美元的 USDT，並被逮捕。這些人員目前已被停職，等待調查；調查仍在等待加密取證與技術報告。 代表 8 名中國受害者的律師 Charles 表示，5 月 10 日案件進展過慢，自人員被捕後仍未有更新，暗示可能存在內部干預以壓制案件。他警告說，如果出現內部保護的證據，將向馬來西亞反貪污委員會提出申訴。警方首長也證實，這些被停職人員仍在針對持械搶劫進行調查。

根據 OpenSourceMalware 的研究，北韓駭客團體 Lazarus 會在針對開發者的定向攻擊期間，將第二階段惡意程式載入器隱藏在 Git Hooks 的 pre-commit 腳本中，該報告於 5 月 9 日揭露。該團體使用一種稱為「Contagious Interview」的技術，透過假扮加密貨幣與 DeFi 公司進行招募，誘使開發者去複製（clone）惡意程式碼儲存庫。這些攻擊目標是竊取受害開發者的加密資產與憑證。

LayerZero 於美國時間5月9日公開道歉，承認 DVN 1/1 配置對高價值交易的設計缺陷，且未監督其風險。宣布政策改革：DVN 不再提供1/1，所有路徑預設改為5/5；若鏈上僅有3名 DVN，最低門檻為3/3。此變動與客戶大規模遷移同步發生，Kelp DAO 與 Solv Protocol 已分別將資產遷往 Chainlink CCIP，且 Solv 在5/8 宣布將7億美元代幣化 BTC遷移，顯示此前對 Kelp 指責錯誤並需承擔責任。後續可觀察各客戶執行情況及與 CCIP 的競爭結果。

根據 CertiK，2026 年前四個月，加密貨幣持有者因「槍械攻擊」損失約 1.01 億美元，全球共發生 34 起已驗證事件，比 2025 年同期間增加 41%。若趨勢持續，該公司估計全年損失將達數億美元。值得注意的是，82% 的攻擊發生在歐洲，法國錄得 24 起事件。「槍械攻擊」（針對加密貨幣持有者的實體攻擊與勒索）已成為一種既有的威脅手法。出現顯著轉變：2026 年逾一半事件鎖定主要受害者的家人，既可能是直接目標，也可能作為施壓槓桿。攻擊者愈來愈採用以數據為基礎的鎖定方式，購買受害者資訊來自線上掮客，而非僅仰賴實體監視。

根據 The Block 報導，LayerZero 於週五就其處理 4 月 18 日的漏洞事件發布公開道歉；該事件從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH。該協議承認，它允許其去中心化驗證者網路（Decentralized Verifier Network）作為高價值交易的唯一驗證者，這是其犯下的錯誤；並推翻了先前將責任歸咎於 Kelp DAO 配置選擇的立場。LayerZero 表示，此次漏洞影響了網路上約 0.14% 的應用程式，以及使用該協議的總資產的 0.36%。事件已促使大型協議進行遷移；此後 Kelp DAO 與 Solv Protocol 已將其跨鏈基礎設施遷移至 Chainlink 的 CCIP，理由是存在安全性疑慮。

加密資安公司 CertiK 估計，2026 年前四個月期間，加密貨幣持有者因「撬鎖攻擊」（wrench attacks）損失約 1.01 億美元，這代表與 2025 年同期相比，已驗證的事件增加了 41%。如果以此速率延續，2026 年全年損失可能達到數億美元。 撬鎖攻擊——一種網路資安術語，指能藉由突破軟體安全系統的實體攻擊與勒索企圖——已成為「加密貨幣持有者的既有威脅途徑」，CertiK 表示。該公司在 2026 年初已驗證 34 起全球事件；而 2025 年全年則報告了約 70 起實體攻擊。儘管如此，由於此類攻擊的性質，許多案件可能未被通報。 地理分布與歐洲集中 值得注意的是，34 起事件中有 28 起（82%）發生在歐洲，顯著的地理格局出現轉變。法國仍是核心樞紐，僅在 2025 年就記錄了 24 起襲擊，遠遠領先「逐國家拆分的結果」，CertiK 指出。這與 2024 年期間全年的 20 起襲擊相比形成對照。相較之下，美國在 2025 年第一季的通報威脅降至 3 起（2025 年為 9 起），而亞洲則降至 2 起（2025 年為 25 起）。 CertiK 指出，推動法國高度集

根據 BlockBeats 的說法，5 月 9 日，Linux 核心的「Copy Fail」漏洞已被加入到美國網路安全與基礎設施安全局（CISA）的「已知遭利用漏洞」（KEV）目錄。該漏洞自 2017 年以來影響多數主要的 Linux 發行版，並允許具備一般使用者權限的攻擊者透過約 10 行 Python 代碼升級取得 root（最高）權限。 由於許多加密貨幣基礎設施元件依賴 Linux——包含交易所、驗證器節點、挖礦礦池、託管式錢包以及雲端交易系統——因此該漏洞對加密產業帶來潛在風險。若遭到利用，攻擊者可能竊取私鑰、破壞驗證器節點、取得管理員存取權限，或對受影響的伺服器發動勒索軟體攻擊。

根據 BlockBeats 指出，5 月 9 日 Chrome 在未獲使用者明確同意的情況下，會自動將一個多個數 GB 的 AI 模型檔案（Gemini Nano）下載到使用者裝置，用於本地端詐欺偵測、網頁摘要以及 AI 功能。 儘管 Google 表示，本地端執行 AI 能提升隱私與安全性，但加密貨幣使用者對缺乏透明度以及未獲明確授權提出疑慮。隨著瀏覽器日益成為加密貨幣錢包、鏈上交易與 DApps 的核心入口，這一舉措也加劇了產業對攻擊面擴大的擔憂，其中包括惡意擴充功能、偽造的交易頁面以及錢包遭劫持的風險。

根據 CertiK，所謂「加密扳手攻擊」——針對加密貨幣持有者的實體襲擊與勒索——在 2026 年前四個月造成的損失約為 1.01 億美元。該公司在全球範圍內核實了 34 起事件，較 2025 年同期間增加 41%。若此趨勢持續，全年損失可能達數億美元。 歐洲占已核實攻擊的 82%，其中法國錄得 24 起事件。值得注意的是，2026 年超過一半的事件涉及主要目標的家人——配偶、子女或年長父母——要嘛是作為直接受害者，要嘛是作為勒索施壓的槓桿。

Wasabi Protocol 今天（5 月 9 日）披露了一起安全事件：攻擊者利用其 AWS 基礎設施中的 Spring Boot Actuator 設定錯誤，盜取用於控制 EVM 智慧合約的私鑰。此次入侵導致以太坊、Base、Blast 以及 Berachain 的各個金庫中，約 480 萬美元的使用者資金與 90 萬美元的協議儲備遭竊，合計損失 570 萬美元。Solana 部署與 Prop AMM 未受到影響。該協議表示，補償所有受影響使用者仍是其最高優先事項，儘管目前尚未公布最終的補償計畫。

根據 CertiK 的說法，加密「扳手」攻擊在 2026 年前四個月造成約 1 億 100 萬美元的損失，全球共有 34 起已驗證事件，較 2025 年同期間增加 41%。若趨勢持續，該公司估計將達到數億美元的

根據 BusinessWorld 報導，菲律賓央行在 5 月 9 日警告公眾，勿與未經授權的虛擬資產服務提供商（VASPs）進行交易，並指出詐欺、資安漏洞以及可能導致資金損失的營運失誤風險。央行也指出其他風險，包括缺乏法律救濟途徑、缺少消費者保護機制、服務品質不佳、虛假廣告、不當的私鑰處理、資安事件以及資料隱私問題。該銀行承諾持續與證券交易委員會以及國家電信委員會合作，限制菲律賓用戶存取未經授權的 VASP 平台。

根據 OpenSourceMalware 的研究，北韓駭客團體 Lazarus 於 5 月 9 日針對開發者的攻擊中，將第二階段載入程式隱藏在 Git Hooks 的 pre-commit 腳本內。該團體在包含「Infectious Interview」的行動中使用這項技術，在其中它假扮為加密貨幣與 DeFi 招募人員，藉以誘騙開發者去複製惡意的程式碼倉庫，最終目標是竊取加密資產與憑證。

根據 MARISKS，一家希臘海事風險管理公司，4 月 21 日不明人士冒充伊朗當局向航運公司發送訊息，要求以加密貨幣付款以確保通行霍爾木茲海峽。該公司確認這些訊息是

據《聯合早報》於 5 月 9 日報道，新加坡國家法院法官王沁如於 5 月 8 日就被告張榮軒（35 歲，譯音）案作出判決，判處入獄六年十個月。張榮軒為前海軍菁英潛水單位（Naval Diving Unit）上尉，被裁定趁友人外出時潛入公寓、拍攝冷錢包助記詞，並於事後盜走友人持有的 170 萬枚 USDT。

根據《海峽時報》報導，曾任新加坡海軍軍官的張榮軒（35 歲），因從朋友的冷錢包竊取 170 萬 USDT（約 230 萬新加坡元），被判處 6 年 10 個月監禁。張是海軍潛水部隊的隊長，他承認，因 FTX 崩潰造成的財務損失促使他犯案。他將竊得資金用於奢侈手錶、賭博以及繳納房貸。