LayerZero 针对 Kelp DAO 被利用事件发布公开道歉，承认单一验证者设置存在故障

两个私钥泄露事件在 36 小时内曝光 $238K ，GoPlus 发出警告

据 GoPlus，过去 36 小时内发生了两起私钥泄露事件，导致合计损失 23.8 万美元。地址 0xUnihax0r 损失了 20 万美元，并此前上传过交易机器人以及 Telegram 访问权限。第二个受侵入地址与一次更大规模的私钥泄露事件相关，影响 574 个地址。

「咆哮小猫」沉寂 16 个月后发布 Pump.fun 地址，交易员怀疑账号遭入侵

據 BeInCrypto 於 5 月 11 日报道，Keith Gill 的已验证 X 帳號「咆哮小貓」（Roaring Kitty）擁有 160 万粉絲，在沉寂 16 个月后甦醒，发布了一个 Solana Pump.fun 合约地址及短片。由於帖文风格与 Gill 此前一貫的市场評論截然不同，普遍懷疑帳號遭到入侵。 X 帳號重返与帖文詳情 根據报道，Roaring Kitty X 帳號的帖文指向 Solana 網路迷因币 Red Kitten Crew（代號：RKC），除合约地址和短片外无任何说明，帳號同时聲稱持有 GameStop（GME）及 RKC 代币；所有帖文在发布后短时间內均已刪除。 根據公开资料，Gill 的公眾形象主要集中於 GameStop 期權交易、价值投资及不定期 YouTube 直播，从未公开推廣迷因币或使用 Pump.fun 平台；其最后一次大規模公开活动是 2024 年 6 月披露的 1.8 亿美元 GameStop 部位。 两个「RKC」代币同步上漲：名稱混淆引发市场反应 根據 Coingecko 及 Pump.fun 市场數據，帖文引发两个不同代號均为

Fluid 完成来自 Resolv 漏洞的 1930 万美元损失分配，并确认用户资金安全

据 ChainCatcher 称，3 月 22 日，Resolv 的签名基础设施遭到破坏，导致大约 8000 万美元的未担保 USR 代币被恶意发行。Fluid 因其 1 亿美元的敞口遭受了 2100 万美元的损失。 损失分配如下最终确定：Resolv 承担 970 万美元，Fluid 的治理金库吸收 820 万美元，团队承担 150 万美元。剩余的 USR 代币由 Resolv 在合约层销毁。Fluid 确认其智能合约未遭破坏，且所有用户资金均安全，并在保持完整协议偿付能力的情况下继续运作。协议已响应升级其预言机和定价风险控制系统。

TanStack npm 供应链遭 Mini Shai-Hulud 攻击，84 版被植入凭证窃取代码

據 Step Security 於 5 月 11 日报告，威脅組织 TeamPCP 发动了名为「Mini Shai-Hulud」的新一輪供应链蠕蟲攻擊，84 个 TanStack npm 套件版本遭到入侵並植入惡意代碼，目標为竊取 CI/CD 環境憑证。Socket Security 在发布六分鐘內已標記所有惡意版本。 攻擊手法与傳播机制 （来源：Socket Security） 根據 Step Security 的分析，此次攻擊採用三階段流程：攻擊者於 2026 年 5 月 10 日以 GitHub 帳號 voicproducoes（ID：269549300，創建於 2026 年 3 月 19 日）建立 TanStack/router 的分支，植入惡意有效載荷；随后將有效載荷注入已发布的 npm 壓縮包；最后利用劫持的 OIDC 令牌，透过 TanStack 專案本身的 GitHub Actions 发布管道，发布帶有有效 SLSA Build Level 3 认证的惡意版本。 根據 Step Security 报告，Mini Shai-Hulud 屬於真正的自傳播蠕蟲：在某一 CI