news 2026/7/2 5:56:16

【安全月报】| 6 月加密货币领域因安全事件损失约 8173 万美元

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
【安全月报】| 6 月加密货币领域因安全事件损失约 8173 万美元

零时科技每月安全事件看点开始了!据多家区块链安全监测平台统计,2026 年 6 月加密货币领域安全态势呈现“攻击频率创年内新高,钓鱼攻击占比显著上升”的特点。当月因安全事件造成的总损失约 8173 万美元,其中黑客攻击与合约漏洞相关损失约 6900 万美元,钓鱼攻击造成约 1270 万美元损失。

协议相关安全事件共发生 67 起,创下 2026 年初以来的单月最高纪录。攻击手法持续迭代,MEV 机器人定向攻击、供应链前端注入、ZK 证明验证缺陷等新型攻击路径集中爆发。跨链桥相关攻击持续构成主要威胁,Axelar 跨链桥损失 467 万美元。黑客组织攻击重心从传统合约漏洞转向自动化系统授权管理、跨链基础设施及社会工程学攻击等多方向扩散。

黑客攻击方面

典型安全事件6

• Humanity Protocol 私钥泄露攻击

时间:6 月 9 日
损失金额:约 3200 万美元

事件详情:去中心化身份验证协议 Humanity Protocol 遭攻击,攻击者通过受感染设备获取内部权限,铸造并转移大量 $H 代币,导致代币单日暴跌约 89%。Quantstamp 调查显示攻击工具具有朝鲜黑客特征,通过伪装成 Bithumb 交易所的钓鱼邮件渗透。攻击者至今仍控制着 BNB 链上的部署合约。

• Syscoin Bridge 跨链桥验证漏洞攻击

时间:6 月 7 日
损失金额:约 1000 万美元

事件详情:Syscoin 跨链桥中继验证链路存在逻辑缺陷,攻击者利用该漏洞伪造跨链交易证明,成功绕过系统校验机制,在 UTXO 侧无抵押、无销毁对应资产的情况下,非法铸造巨额 SYS 代币。黑客将被盗代币拆分转移至多组地址规避追踪,事件直接造成代币行情短时大跌。项目方第一时间紧急关停全部跨链桥服务,启动安全应急排查,后续完成漏洞修复、追回并销毁被盗代币,恢复链上代币正常流通总量。

👉 阅读完整事件分析:

https://syscoin.org/news/technical-postmortem-syscoin-bridge-incident-recovery-and-remediation

• JaredFromSubway.eth MEV 机器人授权管理漏洞攻击

时间:6 月 20 日
损失金额:约 750 万美元

事件详情:以太坊知名 MEV 机器人运营商 JaredFromSubway.eth 遭攻击,攻击者构建虚假MEV套利环境(蜜罐),诱骗机器人自动批准恶意合约,通过 transferFrom 函数提取机器人钱包内资产。JaredFromSubway.eth 最初提供 300 万美元赏金,后提高至 750 万美元以追回 50% 被盗金额。

• Secret Network-Axelar 跨链桥验证漏洞攻击

时间:6 月 10 日
损失金额:约 467 万美元

事件详情:黑客利用 Secret Network 与 Axelar 跨链桥合约验证漏洞,伪造存款并铸造无抵押代币后套现。攻击持续七天未被察觉,直至一笔正常跨链转账因托管账户资金不足才暴露。漏洞合约自 2023 年初部署以来从未进行外部审计。

• Polymarket 供应链前端注入攻击

时间:6 月 25 日
损失金额:约 300 万美元

事件详情:预测市场 Polymarket 遭供应链攻击,攻击者入侵第三方前端服务并植入恶意脚本,诱导用户签署涉及 EIP-7702 委托执行的恶意授权交易,从而转移钱包内资产。此次攻击未影响平台智能合约,而是利用前端被篡改实施攻击,导致至少 11 个用户钱包受影响。Polymarket 迅速移除恶意代码并承诺全额赔付。该事件也反映出当前新兴授权机制(如 EIP-7702)在用户理解和安全验证方面仍存在较大缺口。

• Aztec Connect 验证逻辑漏洞攻击

时间:6 月 14 日(第二次攻击)
损失金额:约 210 万美元(两次合计约 430 万美元)

事件详情:以太坊隐私 Rollup 协议 Aztec Connect 在 6 月内遭受两次攻击,漏洞根源在于 ZK 证明验证路径与 L1 结算路径之间的参数未绑定,导致状态不一致。该漏洞代码已上线超过两年。

Rug Pull / 钓鱼诈骗

典型安全事件3

(1)韩国KOL Jadoodoo X账号被盗钓鱼攻击

损失金额:约 5000 美元

事件性质:6 月 1 日,韩国加密 KOL“西八姐”@jadoodoo_的 X 账号被黑客盗取,攻击者以合作名义向粉丝私信发送钓鱼链接。目前已有多名 KOL 中招,总损失约 5,000 美元。安全机构提醒用户不要点击链接、连接钱包或下载恶意软件。

(2)Gnosis X 账号入侵钓鱼

损失金额:暂未披露

事件性质:6 月 25 日,Gnosis 官方 X 账号遭入侵,黑客发布虚假投票、奖励活动等内容诱导用户点击恶意链接。安全机构发布警告,提醒用户不要与该账号互动、点击链接、连接钱包或签署交易。已与钓鱼网站交互的用户需立即撤销钱包授权并将资产转移至安全钱包。

(3)假冒 MetaMask 插件钓鱼

损失金额:暂未披露

事件性质:6 月初,出现假冒的 MetaMask 浏览器插件,通过第三方应用商店及钓鱼网站传播,诱导用户导入助记词以完成资产清空。安全机构已就此发布多次预警,提醒用户仅从官方渠道下载钱包插件。

总结

攻击目标从传统协议向MEV机器人、跨链桥扩展,新型攻击路径(供应链注入、ZK验证缺陷、委托授权钓鱼)集中爆发。跨链桥持续“失守”,Secret Network攻击持续7天未被发现,暴露链间验证机制的结构性脆弱性。

安全建议:

  • 个人用户:定期检查并撤销钱包授权,警惕钓鱼链接和恶意签名请求;高价值资产使用独立钱包隔离风险;发现可疑交易第一时间保留链上证据,并及时通过官方渠道反馈。

  • 项目方:加强跨链桥验证机制的多层校验,避免单点验证失效;对自动化交易系统实施严格授权管理;确保合约代码开源并接受第三方审计;建立7×24小时异常监测与熔断机制。

  • 行业层面:推动跨链桥安全标准的建立与完善;加强APT威胁情报共享;推动全球监管协作,加大跨境打击力度。零时科技安全团队将持续关注链上安全态势,为行业提供安全预警与解决方案。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/2 5:54:30

深度学习图像数据集构建:从采集到标注的工程化实践

1. 项目概述:为什么你手里的“图片”根本不能直接喂给模型做深度学习项目时,我见过太多人卡在第一步——数据。不是模型调不好,不是代码写不对,而是手里那堆标着“猫狗数据集”“工业缺陷图”的文件夹,点开一看全是模糊…

作者头像 李华
网站建设 2026/7/2 5:49:37

自编码器驱动的图像标注:构建可解释、可演化的标注先验引擎

1. 项目概述:为什么用自编码器做图像标注,而不是直接上分类模型?“Autoencoders for Image Labeling”这个标题乍看有点反直觉——毕竟自编码器(Autoencoder)最广为人知的用途是无监督降维、去噪或生成,比如…

作者头像 李华
网站建设 2026/7/2 5:47:09

公证亲属关系需要多少钱?公证亲属关系办理时长?

办个亲属关系公证,是不是让你一头雾水?平时上班忙得脚不沾地,一想到要请假跑窗口、排队等叫号,心里就打退堂鼓。更让人头疼的是,不知道要花多少钱,也不知道要等几天才能拿到手。别急,今天这篇大…

作者头像 李华
网站建设 2026/7/2 5:46:12

三、本次入侵需要带来启示的点

在这些命令被替换了,并且我们想还原又还原不了的场景,我们可以拷贝同版本的机器相同的命令放在其它目录,用这些命令来解除入侵者将它已经替换并锁定了文件。 注意有些入侵者不仅会在文件层面加锁,还会在当前的文件的目录这一层加锁…

作者头像 李华
网站建设 2026/7/2 5:45:29

Web渗透测试“一课一得”——从信息收集到漏洞利用的实战总结

一、引言本学期我学习了《Web安全与渗透测试》这门课程,系统接触了信息收集、漏洞扫描、SQL注入、跨站脚本攻击(XSS)、文件上传漏洞等核心知识点。从最初只会用工具“盲扫”,到如今能够手动构造Payload进行漏洞验证,这…

作者头像 李华
网站建设 2026/7/2 5:44:04

豆包怎么生成 Word 文档?Markdown 转 docx、表格和公式处理思路

摘要:本文面向“豆包怎么生成 Word 文档”“豆包内容怎么转 Word”“Markdown 转 Word”等常见问题,解释 AI 回答复制到 Word 后出现 Markdown 符号、表格竖线、公式源码和代码块错乱的原因,并对比直接复制、让 AI 重排、Markdown 转 docx、表…

作者头像 李华