5 月 Web3 安全事件 36 起,損失超 7600 萬美元

核心要點

合約漏洞與私鑰泄露引發 36 起攻擊,跨鏈橋與 DeFi 成重災區,Ethereum 損失近 4900 萬美元。

2026 年 5 月,Web3 安全領域遭遇嚴峻考驗,各類安全事件導致的直接經濟損失總計約 7615 萬美元。Beosin Alert 平臺梳理發現,該月共發生重大黑客攻擊事件 36 起,主要誘因集中在智能合約漏洞與私鑰泄露兩大核心問題。其中,因合約或網絡漏洞引發的安全事件達 17 起,而因私鑰泄露導致的受損事件爲 10 起,這標誌着 DeFi 生態在代碼安全與運營安全層面正面臨前所未有的雙重挑戰。

在具體的攻擊案例中,連接 Verus L1 鏈和 Ethereum 的跨鏈橋 Verus-Ethereum Bridge 因合約漏洞遭受重創,成爲單月損失金額最大的事件,涉案金額高達 1158 萬美元。該橋接協議的運作機制依賴於提交方提供證明數據,以證實 Verus 鏈上存在一筆經公證確認的合格輸出,橋合約驗證通過後即在 Ethereum 側釋放資產。

然而,其致命缺陷在於 Ethereum 側的橋接合約雖然驗證了來自 Verus 鏈的證明,卻未校驗該數據是否對應有效的原輸出,致使攻擊者能夠構造虛假輸出通過驗證,進而提取遠超其實際存款的資金。此類漏洞與 2022 年導致 Wormhole 損失 3.2 億美元、Nomad 損失 1.9 億美元的漏洞屬於同一類型,即橋接器僅驗證了消息本身,卻忽略了對其背後資金價值的校驗。

另一典型案例涉及 Echo Protocol,攻擊者利用其私鑰泄露漏洞,成功鑄造了 1000 枚 eBTC,紙面價值約 7670 萬美元。儘管賬面損失巨大,但受限於市場流動性,攻擊者最終實際獲利約 513 萬美元。

此外,TrustedVolumes 項目也因詢價(RFQ)流程中的簽名設計缺陷遭到攻擊。攻擊者利用自定義簽名數據,將轉賬方設定爲 TrustedVolumes 的 Resolver 合約並順利通過校驗,從而轉走合約資產。其根本原因在於授權檢查引用的是 varg4 參數,而執行資金轉移時卻引用了其他參數,這種校驗缺失導致授權簽名者域與實際扣款地址不一致,攻擊者僅需註冊簽名者地址簽署一個 maker 爲 Exploit 的假訂單,即可通過價格預言機檢查並划走資產。

從受害對象分佈來看,被攻擊目標涵蓋跨鏈橋、去中心化交易所、借貸協議、預測市場、穩定幣及普通用戶等多種類型。午方 AI 整理數據顯示,跨鏈橋是損失金額最高的類別,累計損失高達 2799.5 萬美元;而 DeFi 相關項目則是被攻擊次數最多的領域,統計次數達 14 次。在鏈上分佈方面,Ethereum 是 5 月損失金額最多的公鏈,損失金額超過 4876 萬美元,部分跨鏈橋和多數 DeFi 協議的安全事件依然以 Ethereum 爲主。其次是 BNB Chain、Monad、TON,此外 Monero、Bitcoin 也發生了安全事件,顯示出鏈上攻擊已呈現明顯的多鏈態勢。

5 月還出現了多起私鑰泄露事件,累計損失金額超過 2500 萬美元。其中,合規穩定幣發行方 StablR 成爲了穩定幣及 DeFi 賽道關於安全治理的典型教訓。StablR 推出了 EURR 與 USDR 兩種合規穩定幣產品,分別由兩個多籤錢包控制鑄造權限。

然而,這兩個多籤錢包發起交易均只需 1 個簽名,攻擊者通過控制 owner 地址,成功將惡意地址加入多籤錢包,實現了對項目鑄幣權限的完全控制。此類事件並非源於代碼漏洞,而是項目方運營安全的嚴重缺失:未能妥善保管特權地址私鑰,對高價值操作未採用高閾值多籤,大額鑄造操作缺乏時間鎖,且缺少快速應急響應機制。

午方 AI 分析認爲,2026 年 Web3 安全呈現的最深層趨勢是攻擊面的系統性擴大。漏洞正同時在代碼、基礎設施、交互操作和人爲流程中出現,單純依靠數次安全審計或工具已無法覆蓋運營安全、員工端、雲基礎設施及軟件供應鏈等領域,這對 Web3 項目方的持續運營安全提出了更高要求。

此外,針對老舊或棄用合約的攻擊頻發,其中的授權漏洞極易被利用。合約開發者或運營者應再次檢查以往合約的安全性,及時處理棄用合約或轉移遺留資金,並聯系用戶取消不必要的授權。用戶也應定期使用區塊鏈瀏覽器或撤銷授權工具,檢查並取消不再使用的合約授權,以規避潛在風險。

參與投票

5 月 Web3 安全损失会继续扩大吗?

0 人已投票

評論

回覆 @用戶
0/800

暫無評論

消息提醒

登入後查看消息
查看全部消息管理訂閱