一、核心洞察
本周,Web3 行业在技术风险、金融波动与地缘政治的多重交织下,陷入了严峻的系统性震荡。行业发展正呈现出显著的结构性矛盾:一方面是底层安全防线的全面受压,另一方面则是监管策略在碎片化中显现的博弈趋势。首先,安全危机呈指数级爆发,防御体系面临多维挑战。 本周全网损失金额逾 6 亿美元,攻击手段已超越单一的智能合约漏洞,向供应链渗透、AI 驱动攻击及深度社会工程学演进。DeFi 协议间的可组合性在极端压力下,正异化为风险传染的"死亡螺旋",暴露了当前行业安全架构的脆弱性。其次,宏观环境与地缘政治的共振加剧了风险资产的估值压力。 受战争局势及 OPEC 内部裂痕影响,国际油价飙升至三年高位;叠加美联储官员重申加息可能的鹰派立场,全球流动性预期受挫,加密市场承压明显。在监管层面,全球政策版图呈现出"合作与制裁并存"的复杂格局。 尽管美国 SEC 释放出转向"合作引导"的积极信号,但巴西、欧盟的强硬禁令以及大国间地缘博弈的渗透,表明加密货币正被加速工具化。监管碎片化趋势的加深,意味着行业已站在安全范式与信任基础全面重构的十字路口。
二、要闻速览
• DeFi四月损失破6亿美元,创单月史高
• Solana生态遭集群化钱包盗取器持续攻击
• Vercel供应链攻击威胁Uniswap等主流DeFi前端
• Kelp DAO 2.9亿美元漏洞触发史诗级行业自救
• 美联储卡什卡利称战争或迫使重启加息
• 巴西央行禁止在跨境支付中使用稳定币
• SEC主席Atkins宣布推出链上融资框架Reg GG Crypto
• 量子计算突破,15位ECC密钥实验性破解成功
• FBI跨国捣毁杀猪盘网络,逮捕276人
• 重庆律师失联,或涉2.1亿元稳定币受贿洗钱大案
三、全域动态
1.安全事件
DeFi/协议攻击:损失规模达历史顶峰,可组合性风险传染成焦点
Kelp DAO遭2.92亿美元跨链桥配置漏洞攻击,触发史诗级行业救助
攻击者利用LayerZero漏洞, 骗取rsETH后在Aave等协议借出约1.93亿美元资产, 导致Aave市场流动性枯竭。随后,由Aave牵头的"DeFi United"联盟成立, Arbitrum、Mantle等多方捐赠或借贷,试图填补rsETH缺口并防止恶性清算,展现了极端压力下DeFi社区的自救与协作能力。
Carrot Protocol因2.85亿美元漏洞崩溃后停止运营
DeFi协议Carrot Protocol遭受约2.85亿美元的攻击后被迫关闭。该事件是本周第二起损失超2.8亿美元的超级安全事件,与Kelp DAO事件叠加,严重动摇了市场对DeFi安全基础设施的信心。
Base链永续合约协议遭攻击,36分钟内损失110万美元
攻击者利用Base上某永续合约协议的核心逻辑漏洞,在短短36分钟内通过11笔交易盗走110万USDC。该事件凸显了复杂DeFi产品(如永续合约)在代码审计和风控上的极高要求。
MEV机器人利用Meteora池漏洞获利69.6万美元
一名疑似MEV机器人操作者通过操纵Solana上Meteora的ANB池价格,在单笔交易中将0.22美元的USDC变成了69.6万美元,导致ANB代币暴跌99%。此事件引发了对协议设计机制和MEV套利边界的广泛讨论。
私钥/权限泄露:单点失败仍是最大软肋
MagnumDexBot钱包遭大规模抽水,损失超87万美元
Solana交易机器人MagnumDexBot发生私钥或权限泄露,导致超过25名用户的资金被黑客直接盗取。攻击行为始于3月23日,项目方隐瞒真相并停止运营,用户损失惨重,再次暴露了中心化交易工具的巨大风险。
Syndicate Labs私钥泄露致桥接被黑,损失33万美元
DeFi平台Ethereum Syndicate的Commons桥因私钥泄露被攻击,黑客出售约1850万枚SYND代币获利33万美元,导致SYND价格24小时内暴跌37%。私钥管理不善是悬在项目头顶的达摩克利斯之剑。
Volo协议因管理员私钥泄露被盗350万美元,后大部追回
Sui生态的Volo协议因一名管理员的私钥被泄露,导致价值350万美元的资产被盗。该团队迅速响应和透明披露,成功冻结并追回了绝大部分资金,净损失仅为6万美元,成为危机公关和应急处置的典范。
数百个以太坊钱包被同一地址清空,疑与LastPass安全笔记泄露有关
数百个沉睡多年的以太坊钱包被一个神秘地址清空,受害者怀疑是2020/21年将助记词存储在LastPass安全笔记中所致。此事件敲响了中心化存储工具的安全警钟,私钥的生成与保管方式需彻底去中心化。
网络钓鱼/骗局:手法迭代升级,从土狗盘到AI深度伪造
Telegram小应用演变为大规模欺诈机器
名为FEMITBOT的加密欺诈活动被曝光,利用Telegram Mini Apps作掩护,结合虚假品牌和安卓恶意软件进行大规模欺诈,这表明社交平台的轻量级应用正成为诈骗的新温床。
冒充Anthropic发送钓鱼发票与Seed_VaultIO窃取私钥
攻击者冒充AI公司Anthropic发送带钓鱼链接的假发票;同时,名为Seed_VaultIO的虚假加密工具被曝秘密上传用户助记词、IP地址等敏感信息,攻击手法日趋精准和复杂化。
Robinhood注册漏洞导致官方邮件钓鱼
攻击者利用Robinhood账户注册流程的漏洞,使用官方邮件地址"noreply@robinhood.com"发送钓鱼邮件,通过常规安全检查,诱导用户点击虚假链接。此事件警示,即便看似可信的来源也可能存在安全风险。
暗网论坛推广Raton RAT,瞄准加密钱包与浏览器数据
一款名为Raton RAT的恶意软件在暗网论坛被推广,具备盗取加密钱包、浏览器数据、键盘记录及隐藏远程桌面等功能,对普通用户的计算设备安全构成直接威胁。
供应链攻击与基础设施:对生态底层的系统性威胁
Vercel供应链攻击波及Uniswap、dYdX等主流DeFi前端
一场针对开发平台Vercel的供应链攻击被曝光,由于Uniswap、Aave等数十个头部DeFi协议的前端都托管在Vercel上,此次攻击可能导致大规模前端被篡改,风险程度远超单一协议漏洞。
PyPI包lightning遭供应链攻击,窃取开发者凭证并毒化仓库
Python软件包索引(PyPI)中下载量过百万的深度学习包"lightning"被植入恶意代码,用以窃取GitHub Token和云凭证,并进一步污染其他代码仓库。该事件严重威胁着依赖开源库的整个加密开发生态。
Linux内核加密API漏洞CVE-2026-31431公开,可致本地提权
一个名为CopyFail的Linux内核加密套接字层逻辑漏洞公开了可用的攻击代码。该漏洞几乎影响所有主流Linux发行版,允许本地用户获取root权限,对运行节点或服务器的加密生态构成底层威胁。
Trezor发布关键固件更新,修复设备安全漏洞
硬件钱包制造商Trezor敦促用户立即安装重要固件更新,以修复一个潜在的设备安全漏洞,说明即便是冷钱包产品,其安全性也依赖于持续不断的固件维护和漏洞修补。
2.政策监管
监管动态:禁令与制裁范围扩大
巴西央行禁止在跨境支付中使用稳定币和金结算
巴西央行宣布自10月1日起,禁止金融服务商在跨境支付中使用稳定币和其他加密货币结算,限制了金融科技公司的后端支付渠道。此举作为国际资本管制的措施之一,进一步切割了传统金融与加密世界的连接点。
欧盟对俄制裁全面升级,禁止俄加密服务并制裁相关生态
欧盟公布了两年最大对俄制裁方案,对在俄的加密服务提供商实施全面行业禁令,并禁止俄罗斯数字卢布和RUBx稳定币的支持,并将吉尔吉斯斯坦交易所列入制裁名单,加剧了全球加密市场的割裂。
中国发改委禁止外资对AI公司Manus项目的收购
国家发改委以涉及关键技术、数据安全及监管规避为由,依法禁止了Meta对AI公司Manus的收购案。此举强化了中国对核心技术和数据安全的保护力度,并对外资收购设置了新的政治和安全审查壁垒。
SEC主席Atkins宣布即将推出Reg GG Crypto,允许链上代币融资
美国SEC主席在Bitcoin 2026大会上表示,计划推出创新的豁免规定"Reg GG Crypto",允许私营部门在链上通过出售代币进行融资,并强调将允许企业进行链上实验和构建代币化证券,释放出强烈的监管缓和信号。
Trump表态希望CLARITY法案通过以明确加密监管框架
Trump在海湖庄园午宴讲话中表示,他希望《CLARITY法案》获得通过并会立即签署。该法案旨在为加密资产提供全面的监管框架,一旦通过,将结束当前模糊不清的监管状态,对行业长期发展至关重要。
代理司法部长称"不助犯罪的开发者不会被起诉",FBI打击杀猪盘
美国代理司法部长Blanche在Bitcoin 2026大会上明确表示,不会起诉那些未协助犯罪的软件开发者,标志着司法部在加密执法上的重大转向。同时,FBI局长Patel称将重点打击"杀猪盘"诈骗。
沃伦等参议员就关联贷款问题向Tether及美商务部长施压
参议员Warren和Wyden就Tether向商务部长Lutnick子女受益的家族信托提供贷款一事进行质询,担忧涉嫌利益输送及受贿。该事件将Tether的储备和政商关系问题再次推上风口浪尖。
执法行动:全球协作打击犯罪的力度空前
FBI联合多国捣毁杀猪盘团伙,逮捕276人,挽回损失超5.6亿美元
FBI联合迪拜、中国及泰国执法部门,捣毁了至少9个海外加密货币诈骗中心,逮捕276人。行动与特朗普打击境外犯罪网络的行政令一致,展现了全球协力打击"猪仔盘"的高压态势。
重庆某律师所合伙人失联,涉2.1亿元USDT受贿洗钱大案
重庆静昇律师事务所主任彭静被带走调查,据传与重庆市长胡衡华等官员通过稳定币(USDT)受贿洗钱案相关,涉案金额高达数亿元。该案揭示了稳定币已成为中国国内腐败与非法资金转移的新工具。
韩国检方请求判处加密平台Delio前CEO 20年有期徒刑
韩国检方指控Delio前首席执行官郑尚浩犯大规模经济诈骗,导致约2800名投资者资金被套,且其态度恶劣,遂依据相关法案求刑20年。此案是韩国对加密诈骗的又一严厉判罚。
法国起诉88名针对加密货币持有者的"扳手攻击"嫌疑人
法国检方起诉了88名涉嫌通过入室抢劫、绑架等暴力手段(俗称"扳手攻击")获取受害人加密钱包访问权限的嫌疑人,其中包含未成年人。此类物理攻击事件在2026年呈暴涨态势,严重威胁人身安全。
3.宏观经济
传统宏观冲击:战争溢价与紧缩预期并存
布伦特原油飙升至126美元创三年新高,战争风险溢价持续攀升
由于地缘冲突持续升级,布伦特原油期货价格一度冲高至126.09美元/桶,创下2022年3月以来最高水平,加剧了全球通胀和货币政策的不确定性。
美联储卡什卡利:若战争持续推升通胀,美联储可能需要加息
明尼阿波利斯联储主席卡什卡利表示,战争导致的供应链中断可能使通胀压力长期化,美联储需对加息保持开放态度。鹰派言论与油价飙升共同打压了市场风险偏好。
阿联酋意外宣布退出欧佩克,油价短暂剧震
阿联酋宣布自5月1日起退出欧佩克及欧佩克+,并计划逐步提高产量,此举令石油输出国组织面临分裂风险,也为未来全球原油供给格局增添了巨大变数,对能源价格产生长尾影响。
CME:能源与利率波动加剧,全球货币政策面临高度不确定性
芝商所(CME)指出,原油、美债等资产同步剧烈波动,形成跨资产"传染"格局。通胀再起与经济放缓的双重路径让美联储决策难度加大,市场面临的不确定性空前。
加密货币市场:惨淡业绩与暴雷清算
Galaxy Digital Q1财报:受加密市场下跌拖累净亏损2.16亿美元
知名加密金融服务商Galaxy Digital公布2026年Q1财报,因数字资产价格下跌导致净亏损2.16亿美元,即使管理着超50亿美元的资产,仍难逃周期性下行带来的冲击。
4小时全网爆仓1.12亿美元,多军成主爆仓对象
行情剧烈波动导致过去4小时内全网爆仓金额高达1.12亿美元,其中多单爆仓超9600万美元,表明市场下行趋势下,持有杠杆多头的交易者损失惨重。
ASOS联合创始人去世后,其价值400万美元比特币疑遭盗取
ASOS联合创始人在泰国坠楼身亡后数日内,其比特币钱包中的约400万美元资产被神秘转出,其家人已报案。该事件引发了对数字遗产继承与死后资产安全的深切关注。
4.项目动态
Kraken等交易所因上线被指为"纯诈骗"的Space项目(SPC)而遭社区强烈抨击
多家主流交易所(包括Kraken、KuCoin等)上线了Space项目代币,但该项目被众多用户指控为"预售不退款、不发币"的纯诈骗项目。社区质疑交易所尽调缺失,怒斥其"只要给钱就能上",严重损害了CEX的公信力。
链上侦探ZachXBT炮轰Worldcoin:代币经济学恶劣,内部人士操控
ZachXBT公开指摘Worldcoin的WLD代币供应以不可持续的速度膨胀,内部人士在场外交易中获利,并指其通过向低收入国家用户赠送少量代币以获取生物识别数据的模式与FTX如出一辙,引发激烈讨论。
uPeg NFT稀有度机制引发MEV套利争议,项目方澄清非攻击
$uPeg项目因NFT稀有度炒作导致MEV机器人套利,使散户遭遇永久粉尘(dust)问题,市场一度恐慌。项目方澄清其为"机制博弈而非漏洞",系V4 Hook时代不可避免的市场副产品,加深了社区对复杂机制协议的理解与教育。
Supra项目被社区指控为诈骗,疑似即将跑路
有社区成员指控SUPRA项目方以"市场熊市"为由锁定所有用户空投,多名团队成员已离职,并预测其即将宣布关闭。项目方的行为已引发社区强烈不满和广泛的欺诈指控。
Nebius以6.43亿美元收购AI公司Eigen AI,强化推理平台能力
英伟达支持的公司Nebius同意收购AI公司Eigen AI,以增强其推理和模型优化平台。该交易表明,结合AI与加密基础设施的商业布局正在加速,为行业注入新的应用场景想象空间。
5.技术前沿
Zcash发布Zebra 4.4.0版本,紧急修复多项共识级漏洞
Zcash基金会发布了关键更新,修复了可能导致链分叉、区块发现中断等多项共识级安全漏洞,并强烈建议所有节点立即升级。这些高危漏洞若不修复,将威胁整个Zcash网络的安全运行。
量子计算破解ECC密钥取得飞跃,从6位跃升至15位
Project Eleven的研究员成功破解了一个15位的ECC密钥,攻击能力相比去年增加了512倍。尽管目前离破解256位加密仍相距甚远,但显著的技术飞跃再次为比特币等公链的长期量子安全风险敲响警钟。
eCash计划分叉比特币,预挖"中本聪币"引发巨大争议
名为eCash的比特币硬分叉项目宣布将于8月启动,并计划向BTC持有者空投,同时预留了部分代币称为"中本聪币"进行预挖。此举在社区内引发对其动机和公平性的巨大争议。
Over Protocol因资金短缺宣布终止运营,停止所有基础设施服务
L1项目Over Protocol官方宣布,因资金耗尽已无恢复计划,将停止包括钱包、节点、RPC在内的所有基础设施服务。尽管名义上是去中心化网络,但核心服务的终止大概率将意味该链的死亡。