钱包抽干骗局利用假空投针对Openclaw社区

印度 I4C 发布警示：Trust Wallet 假验证链接诈骗案件激增

根据印度网络犯罪协调中心（I4C）于 4 月 28 日发布官方警示，针对 Trust Wallet 用户的“钱包窃取”诈骗案件持续增加，攻击者通过伪造“加密资产验证”步骤诱骗用户向恶意智能合约授予钱包权限，资金随即被自动化脚本转出。I4C 表示，上述诈骗案件的增长趋势，源于国家网络犯罪举报入口网站收到的投诉数量激增。

香港金管局警告：HKDAP 及 HSBC 代币非持牌稳定币发行人

香港金融管理局（HKMA）于4月28日发布官方公告，指出市场上出现使用“HKDAP”或“HSBC”为代号的代币，上述代币并非由持牌稳定币发行人发行，亦与相关持牌发行人无任何关联。根据HKMA同日公告，两名持牌稳定币发行人——碇点金融科技有限公司及香港上海汇丰银行有限公司——均已声明未发行任何受监管稳定币。

Polymarket 数据泄露曝光超过 300K 条记录，威胁行为者发布利用工具

Gate 新闻消息，4 月 29 日——去中心化预测市场平台 Polymarket 似乎遭遇了数据泄露，威胁行为者 xorcat 在已知的网络犯罪论坛上发布了超过 300,000 条数据记录以及配套的利用工具。根据报道，攻击者利用了 Polymarket 的 Gamma 和 CLOB API 中未披露的 API 端点、分页绕过以及 CORS 配置错误来提取数据。 泄露的数据包括 10,000 名用户的完整个人信息 姓名、代理钱包以及基础地址、4,111 条评论、1,000 条举报记录 其中包含 58 个 ETH 地址以及管理员身份验证标识、48,536 条 Gamma 市场元数据条目、超过 250,000 个活跃 CLOB 市场自动做市商地址，以及 9,000 个关注者社交图谱数据点。 利用工具包包含多个漏洞的概念验证代码：CVE-2025-62718 Axios NO_PROXY 绕过，CVSS 9.9，可实现服务器端请求伪造，CVE-2024-51479 Next.js 中间件身份验证绕过，CVSS 7.5，以及 CORS 配置错误。该软件包还包含自动化的数据提取脚本以及完整的红队评估报告。

Believe 创始人 Ben Pasternak 被指控通过 Launchcoin 迁移套取 $54M 百万美元费用

Gate 新闻消息，4月29日——据 ChainCatcher 报道，一起集体诉讼指控，Believe 的创始人 Ben Pasternak 通过 Launchcoin 的迁移流程提取了 $54 百万美元的费用。诉讼称，此次迁移包含为期两周的窗口期，导致代币持有人被稀释，同时未在截止日期前迁移的代币将被永久销毁。

香港金融管理局警告：欺诈性稳定币冒充获牌发行人

Gate 新闻消息，4月29日——香港金融管理局发布公开警示，提醒居民警惕冒充声称与获牌稳定币发行人相关的欺诈代币。市场上已出现使用代码“HKDAP”和“HSBC”的假代币，但这些代币并非由任何获牌稳定币发行人发行，也与其不存在任何关联。 该警示特别提到了 Anchore FinTech Limited 和 汇丰香港的相关通知，指出两家获牌稳定币发行人均已确认：截至目前尚未发行任何受监管的稳定币。公众应保持警惕，防范任何声称与获牌发行人或其稳定币有关的欺诈计划或骗局。 香港金管局建议公众如有疑问，应查阅获牌发行人的官方公告，并且仅通过受监管渠道购买或使用稳定币。

福布斯指控埃里克·特朗普的“美国比特币”是利用 MAGA 投资者情绪的套利工具

Gate News 消息，4月29日——福布斯发布了一份关于“美国比特币（American Bitcoin）”的批判性报告。该公司由埃里克·特朗普（Eric Trump）领导，指控其运作方式是套利工具，利用 MAGA 投资者情绪，而非其所宣传的那种合法的“印钞机”。据福布斯称，该公司使用