⚽ 預測世界盃,瓜分 $40,000!Gate 懂王集結令!
2026世界盃燃爆今夏,來 Gate 廣場當預言家,豪華獎池等您來戰!
💥 輕鬆兩步參與:
1️⃣ 帶 #广场预测世界杯赢40000U 發帖,或分享官方活動至廣場發帖
👉️ https://www.gate.com/competition/football-2026
2️⃣ 發帖內容可圍繞賽事結果預測、賽事勝率分析、交易策略/截圖分享等。
💰 三重大獎等您拿:
1️⃣ 日獎:每天評選 10 位“單日預測王”瓜分 $500!
2️⃣ 周獎:每周狂抽 50 名幸運分享錦鯉瓜分 $1,000!
3️⃣ 榜單獎:衝進周/月度排行榜,斬獲 Gate 世界盃限量球衣禮盒、預測市場體驗券!
詳情:https://www.gate.com/announcements/article/51597
Beosin:5 月主要安全事件 36 起,共計損失超 7600 萬美元
撰文:Beosin
據 Beosin Alert 平台監測數據統計,2026 年 5 月,各類安全事件損失金額總計約 7615 萬美元,發生重大黑客攻擊事件共「36」起,主要原因為合約漏洞與私鑰泄露。其中因合約 / 網絡漏洞的安全事件有 17 起,因私鑰泄露受損的安全事件有 10 起,DeFi 生態的代碼安全與運營安全面臨嚴峻挑戰。
5 月損失 Top10 協議
連接 Verus L1 鏈和 Ethereum 的跨鏈橋 Verus-Ethereum Bridge 因合約漏洞被攻擊,損失金額最大,達 1158 萬美元。Echo Protocol 因私鑰泄露被攻擊者鑄造 1000 枚 eBTC(紙面價值約 7670 萬美元),但因流動性所限,最終實際獲利約 513 萬美元。
被攻擊項目類型及各鏈損失情況
被攻擊對象涵蓋跨鏈橋、去中心化交易所、借貸協議、預測市場、穩定幣、普通用戶等多種類型,其中跨鏈橋損失金額最多,高達 2799.5 萬,DeFi 相關的項目被攻擊的次數最多,統計為 14 次。
5 月損失金額最多的鏈為 Ethereum,損失金額超過 4876 萬美元,部分跨鏈橋和多數 DeFi 協議的安全事件依然以 Ethereum 為主。其次是 BNB Chain、Monad、TON,此外 Monero、Bitcoin 也有安全事件發生,鏈上攻擊呈現多鏈態勢。
主要安全事件分析
Verus-Ethereum Bridge 的運作方式是由提交方提供證明數據,表明 Verus 鏈上存在一筆經公證確認的合格輸出,橋合約驗證通過後在 Ethereum 上釋放資產。而其中的漏洞在於 Ethereum 側的橋接合約雖然驗證了來自 Verus 鏈的證明,但未校驗該數據是否為有效的原輸出,使攻擊者可以通過構造虛假的輸出通過驗證,提取遠超其存款的資金。
存在漏洞的程式碼部分:
本次事件的漏洞與 2022 年導致 Wormhole 損失 3.2 億美元、Nomad 損失 1.9 億美元的漏洞屬於同一類,都是橋接器驗證了消息本身,卻沒有驗證其背後的資金價值。
本次攻擊者是利用 TrustedVolumes 詢價(RFQ)流程中的簽名設計缺陷,在實際轉帳時通過自定義簽名數據,將轉帳方設定成 TrustedVolumes 的 Resolver 合約並順利通過校驗,從而把 Resolver 合約中的資產轉出實現獲利。
存在漏洞的程式碼部分:
授權檢查引用的是 varg4,而執行資金轉移卻引用的是其它參數,缺少校驗導致授權簽名者域與實際扣款地址不一致。
那麼攻擊者只需用註冊好的簽名者地址簽署一個訂單,其中 maker = Exploit(通過簽名校驗),其它簽名參數(代幣、金額)可設為任意值,例如 1:1 的假訂單,使其通過價格預言機的合理價格檢查,隨後從協議合約中劃走資產:
5 月出現了多起私鑰泄露事件,損失金額總共超過 2500 萬美元。其中 StablR 作為合規穩定幣發行方,成為了穩定幣以及 DeFi 赛道關於安全治理的典型教訓。
StablR 推出了兩種合規穩定幣產品:EURR 與 USDR,其中控制 EURR 鑄造的多簽錢包為 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc;控制 USDR 鑄造的多簽錢包為 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3。
由於上述 2 個多簽錢包發起交易都只需 1 個簽名,攻擊者通過控制 owner 地址 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d,就將地址 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 加入到上述 2 個多簽錢包,實現了對項目鑄幣權限的控制:
此類事件並不在於程式碼漏洞,而是項目方的運營安全問題:沒有保存好特權地址的私鑰,對於高價值 / 高風險的操作沒有採用高閾值多簽,對於大額鑄造操作沒有時間鎖,缺乏快速應急響應機制。
Web3 安全威脅趨勢
2026 年 Web3 安全呈現的最深層趨勢是攻擊面的系統性擴大。漏洞正同時在程式碼、基礎設施、交互操作和人為流程中出現,單單依靠數次安全審計或工具無法覆蓋運營安全、員工端、雲基礎設施、軟體供應鏈等領域。這對 Web3 項目方的持續運營安全提出了更高要求。
此外,針對老舊 / 棄用的合約的攻擊頻發,其中的漏洞或是授權極易被攻擊者利用。合約開發者或運營者應再次檢查以往合約的安全性,對於棄用的合約,應及時處理或妥善轉移合約中遺留的資金,聯繫用戶取消不必要的授權。用戶也應定期使用區塊鏈瀏覽器或撤銷授權工具檢查並取消不再使用的合約授權。