安全事件

链上侦探 ZachXBT 表示，Humanity Protocol 和 Kelp DAO 漏洞中被盗资金今日早些时候出现混合信号，暗示这两次攻击可能涉及重叠的攻击者。基于这些新的链上证据，Humanity Protocol 漏洞中的内部参与基本可以排除。

SecondFi，此前与 Yoroi 钱包品牌有关联，因其专有的基于网页的钱包生成软件出现严重漏洞，据悉暴露了私钥并导致大量 ADA 被盗，随后暂停了服务。初步报告指出，374 个钱包损失约 1600 万 ADA，即约 240 万美元，而安全公司 SlowMist 警告称，总影响可能超过 1.29 亿 ADA，即超过 2000 万美元资产。该事件已促使对受影响用户发出紧急警告，但漏洞仅限于 SecondFi 的钱包生成软件，而非 Cardano 区块链协议本身。 SecondFi 私钥漏洞暴露 ADA 钱包 该漏洞的核心在于 SecondFi 专有的基于网页的钱包软件中私钥的生成。如果私钥生成不安全或被暴露，攻击者可能访问钱包，即使底层区块链继续正常运行。初步估计称，374 个钱包被盗 1600 万 ADA，按参考估值约合 240 万美元。安全公司 SlowMist 随后警告称，更广泛的影响可能超过 1.29 亿 ADA，即超过 2000 万美元资产。 Cardano 协议未受影响 Cardano 网络本身并未被黑客攻击或入侵。该问题仅限于 SecondFi 使用的钱包生成软件，这意味

根据 Blockonomi，SecondFi 近期因基于网页的钱包密钥生成软件存在严重漏洞，导致私钥泄露并引发 ADA 被盗，随后暂停服务。初步报告称 1600 万 ADA（约 240 万美元）从 374 个钱包中被盗。安全公司 SlowMist 随后警告，更广泛的影响可能超过 1.29 亿 ADA，即超过 2000 万美元的资产。该漏洞仅限于 SecondFi 的钱包软件，而非 Cardano 区块链协议本身。受影响的用户被警告不要将已泄露的种子短语导入其他钱包。

据 Bitdefender 称，波兰中央打击网络犯罪局于 6 月 27 日宣布，警方逮捕了四名涉嫌运营大型犯罪网络的嫌疑人。该团伙劫持电话号码、入侵加密货币交易所账户并实施 SIM 卡交换攻击以窃取资金，随后通过银行账户、支付平台和数字钱包进行洗钱。当局估计洗钱金额超过数百万美元。 四名嫌疑人面临有组织犯罪、计算机系统入侵和洗钱等指控，若罪名成立，最高可判处 25 年监禁。

Polymarket 确认，黑客在 6 月通过一个受损害的第三方供应商，从超过 11 名用户手中盗取了约 300 万美元。根据区块链安全公司 Peckshield 的说法，此次攻击涉及恶意前端代码，通过钓鱼方式诱骗用户批准欺诈性交易。该公司表示，正在全额退款所有受影响受害者，并强调其核心基础设施和链上市场并未直接遭到入侵。这一事件凸显了预测市场在快速增长及监管审查加剧背景下所面临的安全挑战。 Polymarket 将攻击追溯至第三方供应商代码注入 Polymarket 披露，其外部供应商之一遭到攻陷，使攻击者能够向部分用户的前端注入恶意代码。被篡改的脚本驱动了一场钓鱼攻击，诱骗受害者批准欺诈性交易，进而从其关联钱包中盗走资金。 “我们已控制住事态，”Polymarket 表示，并补充说已移除受影响依赖。该公司强调，其自身的核心基础设施和链上市场并未遭入侵，薄弱环节在于一家第三方供应商，该供应商的代码通过 Polymarket 的网站提供。 区块链安全公司 Peckshield 估计，损失约 300 万美元，涉及超过 11 名受害者。此次攻击属于供应链型妥协，即攻击者针对可信供应商，进而

据 Peckshield 称，黑客在 6 月通过一个受损害的第三方供应商，从超过 11 名 Polymarket 用户手中盗取了约 300 万美元。攻击者注入了恶意前端代码，诱使用户批准欺诈性交易，从而清空了其连接的钱包。Polymarket 确认这是一起针对外部供应商的供应链攻击，而非平台核心基础设施问题，并表示将全额退还受影响的用户。

根据 Base 的状态页面，该区块链于周五（6 月 26 日）发生了第二次区块生产停止，距离周四类似的中断不到 24 小时。周五的中断时间很短，区块生产在 15:33 UTC 停止，并于 16:11 UTC 恢复。节点运营商需要重启其 Base 主网节点以恢复同步。周四的中断影响了区块 47806542 之后的排序器，导致提现中断，但用户资金没有风险。这两起事件表现出相似的症状，第二次发生在周四 20:00 UTC 实施 Beryl 硬分叉后不久。

据 ChainCatcher 报道，Cardano 钱包服务 SecondFi 已完成被盗事件后受影响用户资产的最终余额快照。工程和安全团队正在推进资产回收计划，预计将在大约两周内开始返还：一周时间敲定技术方案，一周时间进行测试和审查。在通过全面安全审计之前，平台将保持暂停状态。用户可以通过官方工单系统提交支持请求。

Polymarket 周四确认了一起钓鱼攻击事件，在第三方供应商被入侵后，攻击者从至少 11 个用户钱包中盗取了 294 万美元。恶意脚本被注入到平台前端，区块链分析师 Specter 指出此次攻击是一次有针对性的钓鱼活动，而非对 Polymarket 核心基础设施的利用。该平台已控制住事态，并承诺对所有受影响用户进行全额赔偿。

根据 Base 的官方状态更新，6 月 25 日的一个共识问题导致 47,806,542 高度出现无效区块，主网区块生产暂停，直到 UTC 时间 17:51 开始恢复。UTC 时间 16:03 区块生产变得不健康，影响了整个网络的存款、提现和客户端软件。 Base 隔离了一个共识问题，该问题导致一个无效区块被排序，阻止了新区块的创建。团队内部排序器和节点初步恢复，区块生产于 UTC 时间 17:51 恢复，UTC 时间 17:58 确认全生态同步。到 UTC 时间 19:22，排序器和支持系统保持稳定，区块正常生产。Base 确认用户资金在整个事件中保持安全。

美国司法部宣布查封了Huione Group柬埔寨子公司使用的云计算账户，这些账户据称托管着支持大规模加密货币洗钱操作的后端基础设施。 根据司法部声明，Huione Guarantee运营着促进被窃信用卡和身份信息销售、恶意软件盗窃收益、人口贩卖招募以及加密货币洗钱的Telegram频道。该账户被用于将非法资金从区块链网络转移到合法银行系统。FBI报告称，去年美国人因网络犯罪损失超过200亿美元，同比增长26%。

根据 Polymarket 透露，该平台于 6 月 26 日遭受 290 万美元盗窃，攻击者在前端注入了恶意脚本。Polymarket 控制了入侵范围并移除了受影响的依赖项。平台表示用户将获得退款。

数十万 OneCoin 诈骗受害者面临 2026 年 6 月 30 日的截止日期，需通过司法部的赔偿计划提交索赔申请。联邦调查局敦促符合条件的受害者——即在 2014 年至 2019 年间购买 OneCoin 并遭受净财务损失的人——在窗口关闭前通过官方网站 onecoinremission.com 提交申请。OneCoin 骗取投资者超过 40 亿美元，美国检察官杰伊·克莱顿将其描述为“伪装成加密货币的谎言”，使其成为历史上最大的加密货币诈骗计划之一。该赔偿计划提供超过 4000 万美元的没收资产，这些资产来自被起诉的个人，但鉴于资金相对于受害者总损失有限，提交索赔并不保证获得赔偿。 司法部设定 2026 年 6 月 30 日为 OneCoin 受害者索赔截止日期 任何在 2014 年至 2019 年间购买 OneCoin 并遭受净财务损失的人都有资格通过司法部官方计划申请，该计划由 Kroll Settlement Administration 管理，可通过 onecoinremission.com 访问。索赔可通过在线、邮寄或电子邮件方式提交。该过程不收取任何费用。联邦调查局表示

根据 GoPlus Security 的说法，攻击者正越来越多地利用人工智能来识别和利用多年前部署的旧版智能合约中的漏洞。近期事件包括：6月9日对以太坊上已有7年历史的 Token of Power (TOP) 合约的攻击造成约150万美元损失；5月25日对已有3年历史的 WUSD.fi 合约的利用造成约20万美元损失；以及6月连续两次（6月14日和6月18日）对 Aztec Network 已有2年历史的合约的攻击，总损失超过400万美元。 GoPlus Security 建议项目采用基于人工智能的持续审计服务，以解决传统安全方法在覆盖历史智能合约方面的局限性，并指出其能够在短时间内进行全面的安全检查，同时平衡可靠性和成本。

Polymarket 周四确认，一个受损的第三方供应商允许攻击者将恶意代码注入预测市场的前端，盗取了约 300 万美元的用户资金。此次攻击并未针对 Polymarket 的智能合约，而是通过受损的供应商向部分用户的浏览器提供恶意脚本，该脚本访问了用户的钱包并盗取了 pUSD，即该平台由 USDC 支持的稳定币。供应链攻击已成为加密货币领域越来越有吸引力的攻击途径，因为它们完全绕过了经过审计的链上代码，攻击用户很少审查的网站层和外部依赖项。 攻击者通过受损供应商注入恶意脚本 受损的供应商向部分用户的浏览器提供了恶意脚本，该脚本访问了用户的钱包并盗取了 pUSD，即该平台用于结算所有交易的由 USDC 支持的稳定币。攻击者随后将被盗资金从 Polygon 桥接到 Ethereum，并将其兑换成约 1,893 ETH，将收益集中到一个钱包中。由于恶意代码存在于网站而非区块链中，受影响的用户几乎没有方法检测到他们信任的界面已被篡改。Polymarket 拒绝透露受损供应商的名称，也未进一步置评。 受影响账户少于 15 个，承诺全额退款 Bubblemaps 的链上调查人员得出结论，损失基本得到

根据 Polymarket 和 Bubblemaps 的链上调查人员，一个受损的第三方供应商允许攻击者在周四（6 月 25 日）向 Polymarket 的前端注入恶意代码，盗取了约 300 万美元的用户资金。攻击者通过被攻破供应商提供的恶意脚本访问用户钱包，并盗取了平台的 USDC 支持的稳定币 pUSD。 被盗资金随后从 Polygon 桥接至以太坊，并转换为约 1,893 ETH，不到 15 个用户账户受到影响。Polymarket 确认已控制住漏洞，移除了受影响的依赖，并承诺全额退还受影响的客户。该公司拒绝透露受损供应商的名称。

MemeCore 发行的 M 代币于 6 月 25 日在无任何官方利空消息的情况下暴跌逾 73%。链上侦探 ZachXBT 于 4 月曾指控其交易量与人气涉嫌造假，代币的交易量真实性存疑，并指控内部人士涉嫌操纵币价。ZachXBT 的上述指控尚未获第三方独立机构核实，MemeCore 官方未就此次崩跌发表任何声明。 \$M 代币崩跌数据与交易量结构 根据 CoinGecko 数据，\$M 代币在 24 小时内最低触及 0.51 美元，收稳于约 0.74 美元，跌幅达 73%，市值从崩跌前的 38 亿美元缩水至约 9.69 亿美元。 崩跌当日全天交易量仅约 2,100 万美元。此交易量相对于崩跌前 38 亿美元的市值而言极低，揭示该代币在崩跌前缺乏承接大量卖压所需的市场流动性深度。 ZachXBT 2026 年 4 月的链上调查指控摘要 ZachXBT 于 2026 年 4 月在社区平台公开质疑 Kraken 对 \$M 代币的现货上架决定，并披露以下具体指控： · 内部人士涉嫌操纵币价，将市值推高至 60 亿美元，完全稀释估值膨胀至 180 亿美元 · 790 万美元资金从 Krake