5月 TOP 3 攻击事件一览
五月发生的安全事件,主要诱因并非智能合约漏洞,而是私钥泄露与跨链验证失效。当月最大规模的损失,根源在于铸币权限、跨链桥语义以及操作安全性这几条信任边界被突破。这也说明,Web3 的安全不只是智能合约代码的严谨性,更是全流程信任边界的管理。任何一个环节的信任假设被攻破,都可能成为整条安全链上最脆弱的突破口。
Echo Protocol:约7670万美元
2026年5月19日,Echo Protocol 在 Monad 上的 eBTC 遭受重大攻击,按事发时 eBTC 的锚定价值计算,事件损失约为7670万美元。
本次事件的根本原因并非智能合约逻辑漏洞,而是管理员私钥被攻破。攻击者在获取管理员权限后,未经抵押直接增发了约 1,000 eBTC。由于 eBTC 被设计为与 BTC 价值锚定,这部分未授权增发迅速形成了巨额名义风险敞口。随后,攻击者将部分伪造的 eBTC 转入下游协议并尝试兑现价值,使事件迅速扩散为跨协议风险。
这起事件说明,锚定资产协议的核心风险不仅在于合约本身,也在于铸币权限是否被过度集中在单一高权限密钥上。一旦管理员权限失守,攻击者即可绕过正常抵押流程,直接破坏资产背书和系统信用。
StablR:约1280万美元
2026年5月24日,StablR 的稳定币系统发生安全事件,未经授权增发的资产规模约为1280万美元。
从公开信息来看,这起事件更像是一次基础设施 / 密钥管理失陷,而不是典型的链上合约漏洞。攻击者据称控制了稳定币铸币流程所依赖的多签权限,并进一步替换或接管了原有控制者,从而能够非法增发 USDR 和 EURR。虽然攻击者最终实际套现的金额低于未经授权增发的代币总面值,但该事件依然造成了稳定币脱锚,并暴露出系统在铸币权限隔离、签名人安全、以及多签治理设计方面的脆弱性。
对于稳定币项目而言,这类事件尤其危险,因为攻击者不需要直接抽走金库资产,只要能够非法铸币,就足以破坏市场对资产可兑付性的信任,并迅速引发价格脱锚和流动性踩踏。
Verus:约1170万美元
2026年5月18日,Verus-Ethereum Bridge 遭受攻击,损失约1170万美元,受影响资产包括 ETH、tBTC 和 USDC。截至 2026 年 5 月 23 日,约 75% 的被盗资金已被归还。
本次事件的根本原因在于 Ethereum 侧跨链导入路径中的类型校验缺失(type-validation failure)。Verus-Ethereum Bridge 的设计依赖 Ethereum 侧验证某个 Verus 链上的导出对象在已公证状态下真实存在,但漏洞在于:桥接合约虽然验证了"对象存在",却没有进一步确认该对象是否属于可用于支付的合法 primary export。攻击者因此能够在 Verus 链上构造一个带有 supplemental export output 的空白导出对象,并在 Ethereum 侧将其证明后,利用桥接合约将该补充对象误识别为正常的资产导出对象。
随后,攻击者提交与该对象内嵌承诺相匹配的 serializedTransfers,顺利通过了 transfer hash 校验,并最终触发 Ethereum 侧资金释放逻辑,提取桥内资产。该事件表明,跨链桥的安全边界不仅在于密码学证明本身,也在于**被证明对象的类型、状态、标志位、编码边界和执行语义是否被严格验证。**如果协议只验证"某个对象存在",却不验证"它是否是正确的对象",那么真实证明同样可能被利用来驱动错误的放款逻辑。
以上内容基于截至 2026年6月1日 00:00(UTC) 的公开信息整理。
扫一扫
35
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
