安全事件

根据 ZachXBT 今天的说法，黑客 Dritan Kapplani Jr 转移了约 259 万美元的被盗加密资产，其中包括 199 万 DAI 和 259 ETH，将资金从地址 0x4487...bba6 转移到 0x67ec...125d。已转移的资产目前仍处于闲置状态。ZachXBT 在 5 月 12 日披露称，Kapplani Jr 和 Trenton Johnson 与一起涉及 185 比特币的社交工程盗窃有关（约 1300 万美元）。

根据区块链取证公司 TRM Labs 的说法，4 月，与朝鲜相关的黑客组织使用人工智能来攻击并利用加密货币平台，共计斩获约 6 亿美元。两起攻击相隔大约两周，导致投资者从一个主要平台发起赎回，并使另一个平台出现故障。网络安全专家尤其担心攻击者使用 AI 来选择目标并设计漏洞利用。

据 PANews 5 月 15 日报道，跨链协议 THORChain 据研究员 ZachXBT 称遭受疑似攻击，涉及比特币、以太坊、BNB Chain 和 Base 网络，导致损失超过 740 万美元。THORChain 社区成员发现异常转账活动源自 TC Router，并建议节点运营商执行全球紧急暂停。此后，该协议已暂停交易功能。

玻利维亚的反毒品负责人埃内斯托·贾斯蒂尼亚诺（Ernesto Justiniano）以及玻利维亚特别反毒品部队（FELCN）主任弗朗斯·威廉·卡布雷拉·奎斯佩（Frans William Cabrera Quispe）会见了美国缉毒署（DEA）官员，以组织协作行动。此次行动的重点将是调查塞巴斯蒂安·马塞特（Sebastian Marset）的加密货币洗钱网络。 要点： 玻利维亚官员与美国 DEA 会面，以调查在加密货币洗钱方面被 3 月 13 日逮捕的塞巴斯蒂安·马塞特。 Chainalysis 报告称，自 2020 年以来，全球加密货币洗钱激增 8 倍，并在 2025 年达到巨量 $82B 。 DEA 和玻利维亚警方将调查接收非法加密货币的公司，以追踪马塞特的犯罪网络。 玻利维亚官员与美国 DEA 会面，打击与毒品有关的加密货币洗钱 全球监管机构正在加强一体化与协作，以打击为非法目的（例如与毒品相关的洗钱）而使用加密货币的行为。 周二，玻利维亚的反毒品负责人埃内斯托·贾斯蒂尼亚诺（Ernesto Justiniano）以及玻利维亚特别反毒品部队（FELCN）主任弗朗斯·威廉·卡布雷拉

根据 CrowdStrike 在 5 月 14 日发布的报告，在过去两年中针对金融机构的入侵在全球范围内增长了 43%。与朝鲜相关的黑客在 2025 年窃取了 20.2 亿美元的数字资产，部分利用了基于 AI 的欺骗技术。 该报告指出，2025 年有 423 家金融服务公司出现在勒索软件泄露网站上，同比增加 27%。另一个与朝鲜相关的组织通过在供应链遭受入侵后分发的木马化软件，分别窃取了 14.6 亿美元的加密货币。

慢雾联合创始人余弦于 5 月 15 日在 X 确认，高危 iOS 攻击框架 DarkSword 已在 GitHub 等管道公开泄露，正被用于针对加密货币钱包持有人的大规模窃密攻击，攻击目标为使用 iOS 18.4 至 18.7 版的苹果设备。苹果确认 iOS 13 或 iOS 14 用户须升级至 iOS 15 方可获得保护。 DarkSword 攻击机制：余弦确认的攻击场景 根据余弦在 X 帖子中的确认，DarkSword 攻击场景如下： 攻击前提（无需关闭恶意页面）：受害者的 Safari 浏览器访问以下类型的恶意网页并保持开启状态： · 假冒色情直播网页 · 波场（TRON）能量站网页 · 退款流程伪装网页 · 漏洞预警伪装网页 攻击触发：在 Safari 开启恶意页面期间，受害者若解锁加密货币钱包 App，恶意 JavaScript 代码可窃取钱包的明文私钥和助记词，并即时报送给攻击者。 余弦确认：“已拿到一些在野攻击样本”，并表示慢雾“会看情况再决定披露”更多技术细节。 哪些用户已受保护，哪些需要立即采取行动 根据 Apple 官方支持文件确认： 已受到保护（无需额外操作）：已

根据 Slow Mist 安全团队的说法，DarkSword iOS 攻击框架已在 GitHub 和其他渠道上公开泄露，目前正被用于大规模盗窃攻击，目标是加密货币钱包持有者。该恶意软件针对运行 iOS 18.4 到 18.7 的设备，通过恶意网页利用 Safari 浏览器漏洞，从而实现远程代码执行。 一旦用户在较旧的 iOS 版本上在 Safari 中点击恶意链接，攻击者即可通过恶意 JavaScript 代码窃取敏感数据，包括私钥和 seed phrase（种子短语），然后通过 Telegram 机器人将数据外传。攻击者使用伪装的成人直播、Tron 能源站以及退款流程页面作为诱饵。

Ripple 名誉技术长大卫·施瓦茨（David Schwartz）于 5 月 13 日发布安全警示，指出针对 XRP Ledger（XRPL）用户的空投和赠币诈骗案件急剧激增。施瓦茨在声明中称，用户在 Instagram、Telegram 等平台所见的促销贴文可能都是骗局，任何在上述平台冒充其身份的账户都可能是骗子。 施瓦茨的确认声明：两则直接引述 施瓦茨在 5 月 13 日的公开声明中确认了以下两条警告： 第一则： 「诈骗警报：近期针对 XRPL 用户的空投和赠币诈骗活动急剧增加。您看到的任何此类贴文很可能都是骗局。」 第二则： 「任何在 Instagram、Telegram 或几乎任何其他平台上冒充我的人，很可能都是骗子。XRP 大家庭，请务必注意安全。」 两则声明均未指明任何具体账户或特定活动，适用于所有声称代表施瓦茨或 Ripple 高管的非官方账户。 常见 XRP 生态诈骗手法：已记录的攻击模式 依据近几个月针对 XRP 生态系统已记录的安全威胁，诈骗者常见的攻击手法包括： 虚假空投与赠币活动： 冒充 Ripple 高管，发布虚假奖励承诺吸引用户 网络钓鱼攻击： 通过假冒验

由 Tether、Tron 和 TRM Labs 共同成立的 T3 金融犯罪部门（T3 FCU）於 5 月 15 日宣布，自 2024 年 9 月成立以来，已凍結超过 4.5亿美元的非法數位资产，並持续擴大与 23 个司法管轄区執法合作。金融行动特別工作組（FATF）认定 T3 FCU 为「全球執法机構寶貴资源」。 T3 FCU 確认的运作規模与合作框架 根據 T3 FCU 週四公告確认的數字： 成立时间：2024 年 9 月（不足两年前） 累计凍結金額：逾 45 亿美元非法數位资产 合作司法管轄区：23 个，包括美国、巴西、德国、西班牙和英国 聲稱资产凍結速度：24 小时內 2025 年截獲增幅：较 2024 年增加近 44% 2025 年主要執法机構：美国、西班牙、德国、荷蘭和保加利亞的執法部门 已確认的合作案例与犯罪類型 T3 FCU 表示，今年協助调查的犯罪類型包括：販毒、外匯駭客攻擊、恐怖主義融资、与北韓有关的活动，以及入室搶劫、綁架和敲詐勒索等暴力犯罪。其中一項已確认的重要行动：協助巴西聯邦警察进行调查，最終凍結了逾 30 亿巴西雷亞爾的加密资产。 Tether 執行长 P

Kelp DAO 于 年 5 月 15 日在 X 平台宣布，作为协调重启计划的一部分，rsETH 提现功能现已上线，桥接和申领功能亦已同步启动。汇率将于北京时间 5 月 15 日 22:30 更新，Eigen 申领同步开放，将反映 rsETH 持有者在暂停期间累计的质押奖励。 恢复计划的确认时程 根据 Kelp DAO 官方 X 帖子确认的步骤： 现已启动：rsETH 提现功能、桥接功能、申领功能 北京时间 5 月 15 日 22:30（欧洲中部时间 16:30）：汇率更新；Eigen 申领同步开放（反映暂停期间累积质押奖励） 短暂稳定窗口后：存款功能将重新开放（官方尚未公告具体日期） 未来两週内：剩余批次的 rsETH 将由 Aave 和 Kelp 陆续发送，完全补充 lockbox 合约 攻击者代币销毁与补充机制 攻击者的 17,132 枚 rsETH 已在 Arbitrum 上完成销毁。销毁完成后，17,132 枚 rsETH 将透过 Aave Recovery Guardian 和 Kelp Recovery Safe 逐步补充，首批 rsETH 透过 LayerZero OF

据 X 上 Ranger Finance 联合创始人 cobra 的一则帖子称，Solana 去中心化金融项目 Ranger Finance 宣布将于 5 月 15 日停止运作。该项目在运营上承担了不可持续的负担，而创始人则注入个人资金以维持运转。募资延迟导致账单不断累积，最终一轮融资失败，所筹集的资金将退还给投资者。 团队已将剩余两个月的运营资金尽可能公平地用于支付员工和供应商，但仍不足以覆盖全部成本。随后，Drift 协议攻击耗尽了剩余资本和个人储备。受到 Drift 攻击影响的用户将在由 Drift 团队分发时获得恢复代币。

David Schwartz 警告 XRP Ledger 用户，针对社区的空投和赠礼诈骗正在上升。Ripple 前首席技术官（CTO Emeritus）表示，Instagram、Telegram 以及其他平台上的冒充者很可能是诈骗分子。 要点： David Schwartz 指出，面向 XRPL 用户的虚假空投和赠礼诈骗正在升级。 冒充者正使用 Instagram、Telegram 以及熟悉的高管姓名来针对用户。 XRPL 用户可能会继续面临通过未经请求的奖励和私信带来的钓鱼风险。 David Schwartz 警告 XRP 用户：虚假空投正在蔓延 Ripple 的前首席技术官（CTO Emeritus）David Schwartz 于 5 月 13 日提醒 XRP Ledger 用户，空投和赠礼诈骗出现了明显激增。他的信息聚焦于可能在社交平台上遇到虚假推广的 XRP 用户。Schwartz 呼吁用户将这些帖子视为很可能的诈骗，并避免与声称代表他的人建立联系。 围绕 XRP 的诈骗行动往往依赖熟悉的姓名、被复制的个人资料以及虚假的奖励邀约。Schwartz 的警告聚焦于面向 XRPL

Mirror Trading International（一家规模巨大的南非加密金字塔骗局）的清算人已收到超过 9,441 项索赔，总额接近 3.95 亿美元。 要点： MTI 清算人截至 2026 年 2 月 18 日报告索赔额为 3.954 亿美元，而法定财产中仅剩 3580 万美元。 FXChoice 在 2020 年冻结了 1,281 枚比特币，约占该财产目前回收的主要部分。 MTI 调查人员将把第 3 类债务人逐一筛出，以最终确定有效索赔的总价值。 资产缩水与法律成本上升 负责监管 Mirror Trading International（MTI）暴雷的清算人曾将其描述为“南非最大的金字塔骗局”，根据法律代理方发布的最新数据，他们已收到 9,441 项索赔，总额接近 3.95 亿美元（65 亿兰特）。尽管索赔规模庞大，但该遗产可用资金持续缩水。 截至 2026 年 2 月 18 日，该遗产中仅剩 3580 万美元，较 2024 年 6 月报告的 3875 万美元有所下降。根据一份报告，清算人认为资金流失源于在美国、加拿大、欧洲、新加坡和澳大利亚等地开展全球回收工作所产生的高昂

周三，来自五个国家的 20 名 FTX 受害者在美国地区法院向律师事务所 Fenwick & West LLP 提起了一起 5.25 亿美元诉讼，指控该公司帮助掩盖导致交易所暴雷的欺诈行为。原告称他们损失了毕生积蓄，并指 Fenwick 提供了法律架构以促成客户资金被挪用，同时限制外部审查。 根据起诉状，FTX 前工程总监 Nishad Singh（因欺诈指控已认罪）作证称，他告诉 Fenwick 律师客户资金正在被滥用。Singh 还表示，该公司创建了 North Dimension Inc.，一家特拉华州的空壳公司，据称其将超过 30 亿美元的被盗客户资金进行转接。诉讼中引用了一份 2024 年由法院指定的破产清算检查员报告，该报告称 Fenwick 与 FTX Group 的不当行为“深度交织在近乎每一个方面”，因为其已成立空壳实体、起草了倒签协议，并实施了自动删除的消息政策以掩盖欺诈。

根据 BlockBeats 5 月 14 日的报道，区块链调查员 ZachXBT 在一份详细报告中指控 LAB 项目存在市场操纵。尽管据称信息不透明，LAB 代币仍在“完全稀释估值”口径下达到 60 亿美元的估值。ZachXBT 认为，内部人士被认为在未向散户投资者披露的情况下控制了超过 95% 的流通代币。ZachXBT 重点指出了据称的不当行为，包括将锁仓期从三个月单方面改为九个月，项目资金与个人资金混用，以及从交易所进行价值数亿美元的内部代币提现。ZachXBT 呼吁交易平台开展彻底调查，并考虑对相关资产进行摘牌或冻结。

据 The Block 称，T3 Financial Crime Unit（T3 FCU）——由 Tether、TRON 和 TRM Labs 共同设立——自其于 2024 年成立以来已冻结超过 4.5 亿美元的非法加密资产，且 2025 年的拦截同比增长 43.9%。该单位业务覆盖包括美国、西班牙和德国在内的 23 个司法辖区，并已被金融行动特别工作组（FATF）认可为全球执法的重要资源。T3 FCU 为多项调查提供支持，包括交易所遭黑客攻击、与朝鲜相关的活动、恐怖融资和暴力犯罪；其中包括协助巴西联邦警察冻结约 58.9 亿美元资产，且包含 430 万 USDT。

根据 Compound 基金会在 5 月 14 日的说法，rsETH 漏洞攻击者在 WETH 和 wstETH Comet 市场持有的仓位已全部清算，攻击者持有的所有 rsETH 代币已转移至 DeFi United。相关行动在周末期间与 Aave 和 KelpDAO 团队协调完成。 已解除以太坊 WETH 和 wstETH Comet 的转账限制，所有 Comet 市场已恢复正常运作。Compound 表示，确保平台安全仍是首要任务。

据 BlockBeats 报道，5 月 14 日，美国法官 Margaret M. Garnett 延后了对 Aave 紧急申请的裁决，该申请旨在解冻在 Kelp DAO 黑客攻击中被盗的 7,100 万美元 ETH。法院要求双方在 6 月 5 日的听证会前提交补充陈述。律所 Gerstein Harrow LLP 于 5 月初提交了限制令，称其委托人对被冻结资金享有权利。 法官 Garnett 表示，Aave 未能充分解释如果冻结持续，用户将如何遭受“复利式损失”，但她也承认此案复杂且存在受害者风险。她命令双方在 5 月 22 日前就六个关键问题作出回应，包括该次黑客攻击是否属于纽约的庇护原则、欺诈与盗窃之间的法律区分、黑客对被盗资产的权利、用于确定优先权的适用法律、是否应适用推定信托，以及如何识别并按比例向各个受害者返还资产。

根据 GoPlus Security 的说法，一名用户在 5 月 14 日于一次典型的地址投毒攻击中损失了 100,000 DAI；该用户在从交易历史中复制了一个相似地址后遭受了攻击。攻击者使用几乎相同的地址向该用户发送 0.0003 DAI，诱使他们在随后转账时选择了伪造地址。GoPlus Security 建议用户不要从交易历史中复制地址，并在转账前核实完整地址，尤其是在进行大额转账前先进行一笔小额测试交易。

据报道，Anthropic 和 OpenAI 已就未经授权的股权转让发出警告，包括通过 SPV、代币化工具或远期合约进行的交易，称此类交易可能无效，并且公司可能无法识别。相关的谨慎声明引发了 Solana 上相关 PreStocks 代币的急剧下跌，其中 Anthropic PreStocks 下跌约 38%，OpenAI PreStocks 下跌约 46%。 两家公司均强调，其普通股和优先股均受到严格的转让限制，未经董事会批准的交易将不获得股东权利的认可。OpenAI 还进一步警告，此类交易可能违反美国证券法，导致买方无法获得任何实际的经济利益。PreStocks 是旨在追踪私营公司隐含估值的代币化工具，但并未获得所依据公司方面的官方授权。