安全事件

根據 ChainCatcher，25 歲的加州加密貨幣高管 Adam Iza 於週一承認，計劃實施針對 Veer Chetal 父母的綁架陰謀；Veer Chetal 曾捲入一宗價值 2.45 億美元的比特幣竊案。Iza 與其同夥企圖透過綁架勒索部分被竊資金。Iza 及另外兩人透過冒充 Google 與加密貨幣交易所支援人員，從一名華盛頓州居民手中竊取了 4,100 BTC。 Iza 也承認在 2020 年至 2022 年間詐欺 Meta 的商務管理員帳戶與信用額度，竊取超過 3,700 萬美元。聯邦檢察官正尋求至少 14 年的監禁。

Aave 於 6 月 1 日宣布，已在一次造成 3 億美元跨鏈攻擊後，將其借貸池的流動性全面恢復。這個去中心化金融協議在攻擊威脅其現金儲備之後，動員了價值 3 億美元的產業救援基金，並取得緊急的美國聯邦法院命令，用以替換已被挪走的資產、保護存款人免受損失，並恢復正常的借貸運作。該公告發布的時間距離攻擊者在 1 個多月前利用 Kelp 與 Layerzero 所營運的第三方橋接（bridge）後的事件更晚。攻擊者鑄造了 116,500 個偽造的 rsETH 代幣，並將其作為抵押，以從 Aave 的 V3 平台抽走 82,650 個包裝以太幣，以及 821 個包裝質押以太幣。 攻擊者利用 Kelp-Layerzero 橋接來鑄造偽造抵押品 攻擊者透過偽造跨鏈訊息，利用由 Kelp 與 Layerzero 營運的第三方橋接。駭客鑄造了 116,500 個偽造的 rsETH 代幣，並將其作為抵押存入 Aave 的 V3 平台。攻擊者隨即將偽造的 rsETH 作為抵押，用以借出 82,650 個包裝以太幣（WETH）以及 821 個包裝質押以太幣（wstETH）。突然的大規模提款從結構上削弱了

根據 Aave 在 6 月 1 日發布的事後檢討，該協議在一次 3 億美元跨鏈攻擊威脅其現金儲備後，已將其借貸池恢復至完整流動性。攻擊者於 4 月中旬利用由 Kelp 與 Layerzero 操作的第三方橋，鑄造了 116,500 個偽造的 rsETH 代幣，並將其作為抵押品以攔截（抽走）82,650 個 WETH 與 821 個 wstETH。Aave 從 Lido、Ether.fi、Ethena 與 Compound 動員了一筆 3 億美元的業界救援基金，以作為對遭到破壞資產的後盾。5 月 8 日，在 5 月 4 日向美國聯邦法院提交一項緊急動議後，一名法官解除了一項先前凍結了 7100 萬美元的可追回資金的禁制令，使開發者得以立即補回流動性池。該協議已在 168 個資產池中實施了 295 項參數更新，並部署自動化的 LTV0 斷路器，以防止未來的攻擊。

Zcash 驗證者於 6 月 1 日美東時間晚上約 10:30 啟動緊急協議升級，以因應網路 Orchard 隱匿池的弱點，該 Orchard 是區塊鏈最新的以隱私為導向的交易系統。根據 Zcash 團隊在 6 月 2 日的更新，該弱點是在任何已知遭到利用之前，於例行的安全性稽核期間被發現。最初出現相互矛盾的說法，暗示區塊鏈曾停下區塊產生數小時，但 Helius 執行長 Mert Mumtaz 隨後澄清指出，主網仍保持運作，所謂「中斷」似乎是由影響區塊瀏覽器基礎設施的錯誤所導致，而非核心協議本身。 驗證者因 Orchard 弱點啟動緊急升級 此次緊急協議升級鎖定的是一項影響 Zcash Orchard 隱匿池的弱點，該弱點是在例行安全性稽核與審查中被辨識出來，且在任何已知遭到利用之前就已發現。專案開發者表示，使用者資金仍然安全，隱私保護措施維持完整，而該弱點僅限於 Orchard 池。 驗證者在全網實作修補期間，暫時中止與 Orchard 相關的交易。在部署期間，使用者無法傳送或收取基於 Orchard 的資金。涉及較舊的 Sapling 隱匿池、透明地址以及交易所持有的 ZEC 餘額

Trezor 和 Tropic Square 於 6 月 3 日，在 Ledger Donjon 團隊進行獨立安全審計之後，披露了 Trezor Safe 7 硬體錢包中使用的 TROPIC01 Secure Element 晶片的弱點。該弱點允許攻擊者透過雷射故障注入攻擊，擷取三種保護秘密之一，使錢包的安全層級從三層降至兩層。該漏洞利用需要攻擊者具備裝置的實體持有、拆解設備以及專門的實驗室器材；Trezor 表示，由於這些限制以及該晶片不儲存私鑰，使用者資金仍受到保護。 Ledger Donjon 團隊識別出 TROPIC01 晶片弱點 Ledger Donjon 團隊進行了一次獨立安全審計，並成功在 TROPIC01 Secure Element 晶片上執行雷射故障注入攻擊。該攻擊能夠擷取用於保護使用者 PIN 的三種秘密之一。根據 Trezor 的部落格文章，該弱點僅涉及 TROPIC01 Secure Element 晶片，這是 Safe 7 錢包中三種物理且彼此獨立的安全層之一。Trezor 表示，僅攻破 TROPIC01 並不能取得 PIN，而 PIN 是用戶資金的最後一道

Zcash 區塊瀏覽器平台在 2026 年 6 月 3 日顯示缺少區塊更新的情況，導致交易者與網路觀察者之間產生混淆。Mert Mumtaz 澄清，錯誤源自故障節點連線，影響了部分瀏覽器；而 Zcash 網路持續正常處理交易。事件凸顯出，區塊瀏覽器的同步問題可能在沒有協定層級中斷的情況下，製造關於網路健康狀況的誤導性訊號。 Mert Mumtaz 確認網路仍持續運作 Mert Mumtaz 表示，受影響的瀏覽器連接到一個壞節點，而 Zcash 網路仍完全可運作。根據 Cointelegraph 於 2026 年 6 月 3 日發布的社群媒體貼文，關於 Zcash 停止區塊產生超過四小時的說法似乎是假的。開發者確認，整個網路的交易處理在沒有中斷的情況下持續進行。在所通過驗證的節點上進行的多次獨立檢查也證實，在上述問題被通報的期間內，區塊鏈表現正常。 故障節點連線導致瀏覽器資料錯誤 故障節點在部分區塊瀏覽器平台上造成錯誤的讀取結果。該問題使顯示的區塊資料出現缺口，但並未影響實際的交易處理。工程師隔離問題節點並恢復準確同步。事件期間，底層區塊鏈共識層未受到任何干擾。驗證者在正常處理交易，而某

根據 The Block，Ledger 的 Donjon 安全團隊在實驗室條件下，透過雷射式攻擊，發現用於 Trezor Safe 7 的 TROPIC01 晶片存在韌體驗證繞過漏洞。該攻擊需要實體裝置持有權，可能使未經授權的韌體得以載入。晶片製造商 Tropic Square 指出，還存在一條額外的攻擊路徑，針對該晶片的 MAC-and-Destroy PIN 驗證機制，並預計在 2026 年底推出升級版晶片。 Trezor 表示，PIN、復原種子與私鑰並不存放在單一晶片上，使用者無需採取任何行動。該公司建議停用晶片的 MAINTENANCE 模式以降低攻擊可行性，並已通知合作夥伴該漏洞。

美國司法部（Department of Justice）與商品期貨交易委員會（Commodity Futures Trading Commission）已針對前國會議員 George Santos 受赦後，據稱在預測市場 Kalshi 上進行的交易展開調查，依據 NPR。Santos 據稱押注他會缺席美國總統 Donald Trump 的國情咨文演說，卻同時在公開承諾自己會出席，因此獲利了數萬美元。Kalshi 在偵測到相關活動後凍結 Santos 的帳戶，並將此案提交給兩家聯邦機構；兩名熟悉該交易所審查流程的人士告訴 NPR。 這些調查延續了近幾個月內浮出檯面的、針對預測市場內線交易的追查浪潮，反映全國範圍內對預測市場日益升高的審視。 Santos 先公開承諾出席，卻下注自己不會去 在美國總統 Trump 的國情咨文演說前一天，Santos 在推文表示：「我會在國情咨文（State of Union）演說時出現在畫廊（gallery），各位。」此舉提高了他會出席的機率。據消息人士向 NPR 表示，在演說期間，他又發文：「在機場的電視上看 SOTU 不在計畫內！FML」，稱他早已下注自

根據 Zcash Foundation 的說法，6 月 3 日中午 12:05（北京時間），網路啟動 NU 6.2 硬分叉，以永久修復在 5 月 29 日於 Orchard 隱匿池中發現的關鍵漏洞。獨立的資安研究員 Taylor Hornby 指出，Orchard 的零知識證明電路存在缺陷，可能使該池內的雙重消費成為可能。經過 ZODL 核心工程師確認後，透過 Zebra 4.5.3 的緊急軟分叉在 6 月 2 日上午暫時停用 Orchard 操作。主網在區塊高度 3,364,600 完成升級，並以修正後的電路重新啟用 Orchard。截至目前未發生已知的攻擊事件，使用者資金與隱私維持完整，總供給也已確認安全。

Microsoft 威脅情報發現了兩個遭到入侵的 npm 套件，正在散布遠端存取木馬惡意程式，目標鎖定開發人員與加密貨幣使用者。這些惡意套件被辨識為 utils-terminal@3.2.1 與 logger-active@3.2.1，它們會從遭入侵的系統竊取按鍵紀錄、截圖以及加密貨幣錢包憑證。攻擊者使用 Hugging Face 相關的存放庫來外傳遭竊資訊，使資安團隊的偵測更具挑戰。該活動鎖定包含瀏覽器型加密貨幣錢包、私鑰、交易所 API 憑證與雲端服務憑證的開發者工作站。此發現屬於持續中的軟體供應鏈風險的一部分，影響開發者與在開發機器上儲存敏感資產的加密貨幣使用者。 Microsoft 識別出散布 RAT 惡意程式的惡意 npm 套件 Microsoft 警告，網路犯罪分子正透過隱藏在公用 npm 套件中的惡意軟體，鎖定開發人員與加密貨幣使用者。根據 Microsoft 威脅情報，兩個遭到入侵的 npm 套件（分別為 utils-terminal@3.2.1 與 logger-active@3.2.1）被發現正在散布可從遭入侵系統竊取敏感資訊的遠端存取木馬（RAT）。 據稱，這些惡

根據 Microsoft Threat Intelligence，發現了兩個惡意 npm 套件——utils-terminal@3.2.1 和 logger-active@3.2.1——正在散播遠端存取木馬（RAT），該惡意程式旨在竊取加密貨幣錢包憑證、API 金鑰以及其他敏感資料，目標是開發者系統中的資料。 攻擊者將遭竊資訊透過 Hugging Face（一個機器學習平台）進行轉送，以規避偵測，讓該活動看起來不如直接的指揮與控制通訊來得可疑。此威脅特別令人關注的是加密開發者，因為他們的工作站通常包含錢包私鑰、種子短語備份以及交易所憑證。

根據 Trezor 與 Tropic Square 的說法，這些公司披露了一項在 6 月 3 日 Ledger Donjon 稽核期間發現的 TROPIC01 晶片弱點。根據其聲明，Safe 7 硬體錢包與使用者資金仍然安全。

根據 ChainCatcher 引述《山東法治日報》，中國青島的一家法院以竊取 2024 年受害者的 107 比特幣為由，判處一名姓張的男子有期徒刑 10 年 9 個月。被告在協助設定錢包時取得了受害者的錢包恢復助記詞，隨後存取並轉移了該比特幣——在行竊當時價值約 2254 萬人民幣。檢察官透過多次轉移與兌換追查被竊比特幣，追回約 66 萬人民幣。法院裁定，比特幣具備經濟價值與獨占性控制特徵，符合中國刑法中「財物」的法律定義，因此可依法以竊盜罪名提起指控。被告的上訴在 2025 年 11 月遭駁回，維持原判。

根據 ZachXBT 的說法，EDGE 代幣在單日內下跌超過 40%，原因是鏈上調查員指控 edgeX 內部人員控制了大部分代幣供應。該專案否認相關指控，並將價格下跌歸因於外部因素，導致雙方就市場操縱指控展開爭議。

根據 Foresight News，Gnosis Pay 宣布其安全事件的最新更新，表示該問題已被遏制。平台預期將於週三晚間（GMT+2）分批恢復營運，隨後逐步恢復卡片功能。受影響用戶將收到一張新的 Card Safe，該卡將連結至其既有的銀行卡與身分資訊；新帳戶將預先注入與其原始餘額等值的資產。未受影響用戶必須完成從舊版 Pay Safe 遷移至新版的流程。

微軟於週二在其年度 Build 會議期間揭露 Majorana 2 量子晶片，宣布該裝置的可靠性比前代高 1,000 倍。該晶片可達到平均量子比特（qubit）壽命 20 秒，部分可維持長達 1 分鐘；微軟將這些進步歸因於加速材料發現與製造流程的 AI 工具。此番公布加劇了外界對於量子電腦何時會變得足夠強大、從而威脅現代加密的擔憂，包括遭暴露的比特幣 461 億美元資金的安全性。 微軟以鉛基設計取代鋁材 Majorana 2 用鉛基設計取代 Majorana 1 所採用的鋁基拓撲超導體，該設計能更好地保護量子比特免受干擾。微軟表示，這項變更帶來了可靠性與速度的顯著改善。該公司指出，它預期能在 2029 年實現可規模化的量子運算。「我們需要每年都做改進，讓我們更接近交付一台我們相信具備龐大商業與社會價值的電腦，」微軟技術院士 Chetan Nayak 說。「我們得持續沿著這條路線前進來達成目標，但相較於去年，我們做到哪裡了？我們已經好出 1,000 倍。」 AI 工具自動化量子研究與製造 微軟表示，其 Microsoft Discovery 平台以及能主動行動的 AI 工具協助研究人員分

Radiant Capital（RDNT）是一個跨鏈的去中心化借貸協議，週一宣布將於近兩年後關閉。該平台在 2024 年 10 月遭到攻擊者透過一種先進的惡意程式注入攻擊，從平台中竊走 5,000 萬美元。攻擊者入侵開發者的硬體錢包，並操縱 Safe Wallet 的前端介面，使其顯示合法交易，同時在例行的多重簽名代幣發行調整期間在背景中執行被投毒的交易。 根據分析公司 Lookonchain 的說法，攻擊者將被盜資金轉換為約 21,957 枚以太幣（ETH），並於 2025 年 8 月開始以每枚 4,562 美元的平均價格出售，實現 93.5% 的獲利。Radiant Capital 與美國執法單位以及 web3 安全公司 zeroShadow 合作，嘗試進行資產回收，但成效有限。

根據 BlockBeats，BNB Chain 上的 TesseraDao 在 6 月 2 日之前約 19 小時遭到攻擊，駭客惡意鑄造了 9900 萬個 TSR 代幣並立即拋售。此次攻擊導致 TSR 價格暴跌 99%。攻擊者將所得款項兌換為約 250 萬美元 USDT，並將資金跨鏈轉移至以太坊。

根據 Peckshield，UXLink 攻擊者今天將 92 WBTC（約 640 萬美元）轉換為以太幣，並向 Tornado Cash 存入 1,500 ETH。UXLink 先前在 2025 年 9 月遭到入侵：其多重簽名錢包被竊，導致損失超過 4400 萬美元。

Radiant Capital 在判斷其從 2024 年 10 月發生的安全事件中復原已不再可能、且剩餘資源不足後，正在關閉主動運營。這個跨鏈借貸協議在 2024 年 10 月遭受 5,000 萬美元的攻擊，影響了 Arbitrum 與 BNB Chain 的部署，並且尚未追回遭竊資金、取得新的投資、或獲得能夠恢復可持續運營的補助。該 DAO 表示，當其開始循序漸進的降載流程時，開發工作將立即停止，並將剩餘資源用於與復原相關的活動。 Radiant Capital 於 2024 年 10 月遭受 5,000 萬美元攻擊 2024 年 10 月的攻擊造成 Radiant 的 Arbitrum 與 BNB Chain 部署損失約 5,000 萬美元。根據當時的報導，攻擊者透過後門合約取得未經授權的存取權，導致損失估計達 5,100 萬美元。該 DAO 表示，自事件發生以來，尚未追回遭竊資金中的任何具意義部分。在一份解釋關閉決定的聲明中，DAO 表示貢獻者持續致力於支援使用者、維持平台並推進復原工作，但最終認定僅靠營運延續本身不足以克服缺乏成長、資本或成功追回資金的問題。 2024 年較早的