安全事件

根據 The Block 報導，LayerZero 於週五就其處理 4 月 18 日的漏洞事件發布公開道歉；該事件從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH。該協議承認，它允許其去中心化驗證者網路（Decentralized Verifier Network）作為高價值交易的唯一驗證者，這是其犯下的錯誤；並推翻了先前將責任歸咎於 Kelp DAO 配置選擇的立場。LayerZero 表示，此次漏洞影響了網路上約 0.14% 的應用程式，以及使用該協議的總資產的 0.36%。事件已促使大型協議進行遷移；此後 Kelp DAO 與 Solv Protocol 已將其跨鏈基礎設施遷移至 Chainlink 的 CCIP，理由是存在安全性疑慮。

加密資安公司 CertiK 估計，2026 年前四個月期間，加密貨幣持有者因「撬鎖攻擊」（wrench attacks）損失約 1.01 億美元，這代表與 2025 年同期相比，已驗證的事件增加了 41%。如果以此速率延續，2026 年全年損失可能達到數億美元。 撬鎖攻擊——一種網路資安術語，指能藉由突破軟體安全系統的實體攻擊與勒索企圖——已成為「加密貨幣持有者的既有威脅途徑」，CertiK 表示。該公司在 2026 年初已驗證 34 起全球事件；而 2025 年全年則報告了約 70 起實體攻擊。儘管如此，由於此類攻擊的性質，許多案件可能未被通報。 地理分布與歐洲集中 值得注意的是，34 起事件中有 28 起（82%）發生在歐洲，顯著的地理格局出現轉變。法國仍是核心樞紐，僅在 2025 年就記錄了 24 起襲擊，遠遠領先「逐國家拆分的結果」，CertiK 指出。這與 2024 年期間全年的 20 起襲擊相比形成對照。相較之下，美國在 2025 年第一季的通報威脅降至 3 起（2025 年為 9 起），而亞洲則降至 2 起（2025 年為 25 起）。 CertiK 指出，推動法國高度集

根據 BlockBeats 的說法，5 月 9 日，Linux 核心的「Copy Fail」漏洞已被加入到美國網路安全與基礎設施安全局（CISA）的「已知遭利用漏洞」（KEV）目錄。該漏洞自 2017 年以來影響多數主要的 Linux 發行版，並允許具備一般使用者權限的攻擊者透過約 10 行 Python 代碼升級取得 root（最高）權限。 由於許多加密貨幣基礎設施元件依賴 Linux——包含交易所、驗證器節點、挖礦礦池、託管式錢包以及雲端交易系統——因此該漏洞對加密產業帶來潛在風險。若遭到利用，攻擊者可能竊取私鑰、破壞驗證器節點、取得管理員存取權限，或對受影響的伺服器發動勒索軟體攻擊。

根據 BlockBeats 指出，5 月 9 日 Chrome 在未獲使用者明確同意的情況下，會自動將一個多個數 GB 的 AI 模型檔案（Gemini Nano）下載到使用者裝置，用於本地端詐欺偵測、網頁摘要以及 AI 功能。 儘管 Google 表示，本地端執行 AI 能提升隱私與安全性，但加密貨幣使用者對缺乏透明度以及未獲明確授權提出疑慮。隨著瀏覽器日益成為加密貨幣錢包、鏈上交易與 DApps 的核心入口，這一舉措也加劇了產業對攻擊面擴大的擔憂，其中包括惡意擴充功能、偽造的交易頁面以及錢包遭劫持的風險。

根據 CertiK，所謂「加密扳手攻擊」——針對加密貨幣持有者的實體襲擊與勒索——在 2026 年前四個月造成的損失約為 1.01 億美元。該公司在全球範圍內核實了 34 起事件，較 2025 年同期間增加 41%。若此趨勢持續，全年損失可能達數億美元。 歐洲占已核實攻擊的 82%，其中法國錄得 24 起事件。值得注意的是，2026 年超過一半的事件涉及主要目標的家人——配偶、子女或年長父母——要嘛是作為直接受害者，要嘛是作為勒索施壓的槓桿。

Wasabi Protocol 今天（5 月 9 日）披露了一起安全事件：攻擊者利用其 AWS 基礎設施中的 Spring Boot Actuator 設定錯誤，盜取用於控制 EVM 智慧合約的私鑰。此次入侵導致以太坊、Base、Blast 以及 Berachain 的各個金庫中，約 480 萬美元的使用者資金與 90 萬美元的協議儲備遭竊，合計損失 570 萬美元。Solana 部署與 Prop AMM 未受到影響。該協議表示，補償所有受影響使用者仍是其最高優先事項，儘管目前尚未公布最終的補償計畫。

根據 CertiK 的說法，加密「扳手」攻擊在 2026 年前四個月造成約 1 億 100 萬美元的損失，全球共有 34 起已驗證事件，較 2025 年同期間增加 41%。若趨勢持續，該公司估計將達到數億美元的

根據 BusinessWorld 報導，菲律賓央行在 5 月 9 日警告公眾，勿與未經授權的虛擬資產服務提供商（VASPs）進行交易，並指出詐欺、資安漏洞以及可能導致資金損失的營運失誤風險。央行也指出其他風險，包括缺乏法律救濟途徑、缺少消費者保護機制、服務品質不佳、虛假廣告、不當的私鑰處理、資安事件以及資料隱私問題。該銀行承諾持續與證券交易委員會以及國家電信委員會合作，限制菲律賓用戶存取未經授權的 VASP 平台。

根據 OpenSourceMalware 的研究，北韓駭客團體 Lazarus 於 5 月 9 日針對開發者的攻擊中，將第二階段載入程式隱藏在 Git Hooks 的 pre-commit 腳本內。該團體在包含「Infectious Interview」的行動中使用這項技術，在其中它假扮為加密貨幣與 DeFi 招募人員，藉以誘騙開發者去複製惡意的程式碼倉庫，最終目標是竊取加密資產與憑證。

根據 MARISKS，一家希臘海事風險管理公司，4 月 21 日不明人士冒充伊朗當局向航運公司發送訊息，要求以加密貨幣付款以確保通行霍爾木茲海峽。該公司確認這些訊息是

據《聯合早報》於 5 月 9 日報道，新加坡國家法院法官王沁如於 5 月 8 日就被告張榮軒（35 歲，譯音）案作出判決，判處入獄六年十個月。張榮軒為前海軍菁英潛水單位（Naval Diving Unit）上尉，被裁定趁友人外出時潛入公寓、拍攝冷錢包助記詞，並於事後盜走友人持有的 170 萬枚 USDT。

根據《海峽時報》報導，曾任新加坡海軍軍官的張榮軒（35 歲），因從朋友的冷錢包竊取 170 萬 USDT（約 230 萬新加坡元），被判處 6 年 10 個月監禁。張是海軍潛水部隊的隊長，他承認，因 FTX 崩潰造成的財務損失促使他犯案。他將竊得資金用於奢侈手錶、賭博以及繳納房貸。

根據 ChainCatcher，35 歲的前新加坡海軍中尉、張榮軒（Zhang Rongxuan）因從朋友的冷錢包盜走 170 萬 USDT（約 230 萬新加坡元）被判處監禁 6 年 10 個月。被告曾擔任海軍水下作業單位的上尉，資安公司追蹤到該加密貨幣錢包後，他承認了這起竊盜，表示自己是在 FTX 交易所倒閉造成重大損失之後才犯下此案。 張榮軒曾透過其共同操作位於 Upstairs Research Pte Ltd、由 DiGi Selection Holdings Pte Ltd 所擁有的 NFT 交易平台而認識受害者。被盜資金用於購買奢侈手錶、賭博，以及償還房貸債務。

愛沙尼亞金融監管局（FSA）於 5 月 9 日就 BB Trade Estonia OÜ 公司（運營 Zondacrypto 數位資產交易所）發布投資者警告，指出 Zondacrypto 未在網站上刊登「TeamPL」加密代幣的白皮書，違反歐盟加密資產市場監管框架（MiCA）第 9 條第 1 款的規定。

根據路透社，英國短跑選手、前世界冠軍奇金杜·烏賈（Chijindu Ujah）因涉嫌加密貨幣詐欺而遭到逮捕，並已獲准以保釋金釋放。烏賈是英國國家犯罪署（UK's National Crime Agency）拘留的 10 人之一；其中 7 人已獲地方法官准予保釋，並將於 5 月 28 日出庭，面臨共謀實施詐欺的指控。 警方表示，該嫌疑人屬於一個有組織犯罪團伙，據稱透過假冒警方人員與加密貨幣公司員工進行電話詐騙，誘使受害者透露安全資訊（包括恢復短語），以從其加密錢包中盜取資金。據報一名受害者損失超過 300,000 英鎊（約 410,000 美元）。

根據 CertiK 的說法，加密貨幣持有者在 2026 年前四個月因竊盜攻擊損失了約 1.01 億美元，全球共通報 34 起已驗證的事件，相較 2025 年同期間增加 41%。 這些攻擊中有 82% 發生在歐洲，其中法國

根據北京市海淀區人民法院的說法，一名被告近日因透過加密通訊管道非法取得超過 9 億條個人資訊而被判處有期徒刑 7 年，並處以 70,000 元罰金。該被告建立了一個「社交工程資料庫」網站，存放了 1.7 億筆公民個人資料記錄，並以出售資訊換取加密貨幣。該被告亦在加密平台上設立群組，用於散布侵犯隱私的內容。法院以侵害公民個人資訊以及非法使用資訊網路的罪名判定被告有罪。

金融科技平台 Revolut 於 5 月 8 日確認出現影響部分加密貨幣功能的技術問題，根據 Revolut 官方支援帳號在 X 聲明，工程師正積極調查根本原因。此前，Revolut 應用程式圖表短暫顯示比特幣低至 0.019916 美元，部分用戶同步收到推播通知稱 BTC 已創 52 週低點，事件持續數秒後恢復正常。

根據 LayerZero Labs 的說法，該協議的內部 RPC 基礎設施在過去三週遭到 Lazarus Group 的攻擊，影響了 0.14% 的應用程式以及約 0.36% 的總資產價值。外部 RPC 提供者也遭遇了 DDoS 攻擊。儘管發生了這些事件，LayerZer

根據加密資安公司 CertiK 的說法，在 2026 年前四個月中，受害者因「加密勒索（crypto wrench）」攻擊而損失了約 1.01 億美元——包括人身攻擊與勒索企圖。CertiK 已在此期間核實全球範圍內的 34 起事件，較同期增加 41%