金色財經
零時科技每月安全事件看點開始了!據多家區塊鏈安全監測平台統計,2026 年 6 月加密貨幣領域安全態勢呈現「攻擊頻率創年內新高,釣魚攻擊占比顯著上升」的特點。當月因安全事件造成的總損失約 8173 萬美元,其中駭客攻擊與合約漏洞相關損失約 6900 萬美元,釣魚攻擊造成約 1270 萬美元損失。
協議相關安全事件共發生 67 起,創下 2026 年初以來的單月最高紀錄。攻擊手法持續迭代,MEV 機器人定向攻擊、供應鏈前端注入、ZK 證明驗證缺陷等新型攻擊路徑集中爆發。跨鏈橋相關攻擊持續構成主要威脅,Axelar 跨鏈橋損失 467 萬美元。駭客組織攻擊重心從傳統合約漏洞轉向自動化系統授權管理、跨鏈基礎設施及社會工程學攻擊等多方向擴散。
典型安全事件 6 起
• Humanity Protocol 私鑰泄露攻擊
時間:6 月 9 日損失金額:約 3200 萬美元
事件詳情:去中心化身份驗證協議 Humanity Protocol 遭攻擊,攻擊者通過受感染設備獲取內部權限,鑄造並轉移大量 $H 代幣,導致代幣單日暴跌約 89%。Quantstamp 調查顯示攻擊工具具有朝鮮駭客特徵,通過偽裝成 Bithumb 交易所的釣魚郵件滲透。攻擊者至今仍控制着 BNB 鏈上的部署合約。
• Syscoin Bridge 跨鏈橋驗證漏洞攻擊
時間:6 月 7 日損失金額:約 1000 萬美元
事件詳情:Syscoin 跨鏈橋中繼驗證鏈路存在邏輯缺陷,攻擊者利用該漏洞偽造跨鏈交易證明,成功繞過系統校驗機制,在 UTXO 側無抵押、無銷毀對應資產的情況下,非法鑄造巨額 SYS 代幣。駭客將被盜代幣拆分轉移至多組地址規避追蹤,事件直接造成代幣行情短時大跌。項目方第一時間緊急關停全部跨鏈橋服務,啟動安全應急排查,後續完成漏洞修復、追回並銷毀被盜代幣,恢復鏈上代幣正常流通總量。
? 閱讀完整事件分析:
https://syscoin.org/news/technical-postmortem-syscoin-bridge-incident-recovery-and-remediation
• JaredFromSubway.eth MEV 機器人授權管理漏洞攻擊
時間:6 月 20 日損失金額:約 750 萬美元
事件詳情:以太坊知名 MEV 機器人營運商 JaredFromSubway.eth 遭攻擊,攻擊者構建虛假MEV套利環境(蜜罐),誘騙機器人自動批准惡意合約,通過 transferFrom 函數提取機器人錢包內資產。JaredFromSubway.eth 最初提供 300 萬美元賞金,後提高至 750 萬美元以追回 50% 被盜金額。
• Secret Network-Axelar 跨鏈橋驗證漏洞攻擊
時間:6 月 10 日損失金額:約 467 萬美元
事件詳情:駭客利用 Secret Network 與 Axelar 跨鏈橋合約驗證漏洞,偽造存款並鑄造無抵押代幣後套現。攻擊持續七天未被察覺,直至一筆正常跨鏈轉賬因託管帳戶資金不足才暴露。漏洞合約自 2023 年初部署以來從未進行外部審計。
• Polymarket 供應鏈前端注入攻擊
時間:6 月 25 日損失金額:約 300 萬美元
事件詳情:預測市場 Polymarket 遭供應鏈攻擊,攻擊者入侵第三方前端服務並植入惡意腳本,誘導用戶簽署涉及 EIP-7702 委託執行的惡意授權交易,從而轉移錢包內資產。此次攻擊未影響平台智能合約,而是利用前端被篡改實施攻擊,導致至少 11 個用戶錢包受影響。Polymarket 迅速移除惡意代碼並承諾全額賠付。該事件也反映出當前新興授權機制(如 EIP-7702)在用戶理解和安全驗證方面仍存在較大缺口。
• Aztec Connect 驗證邏輯漏洞攻擊
時間:6 月 14 日(第二次攻擊)損失金額:約 210 萬美元(兩次合計約 430 萬美元)
事件詳情:以太坊隱私 Rollup 協議 Aztec Connect 在 6 月內遭受兩次攻擊,漏洞根源在於 ZK 證明驗證路徑與 L1 結算路徑之間的參數未綁定,導致狀態不一致。該漏洞代碼已上線超過兩年。
典型安全事件 3 起
(1) 韓國KOL Jadoodoo X賬號被盜釣魚攻擊
損失金額:約 5000 美元
事件性質:6 月 1 日,韓國加密 KOL「西八姐」@jadoodoo_的 X 賬號被駭客盜取,攻擊者以合作名義向粉絲私信發送釣魚鏈接。目前已有多名 KOL 中招,總損失約 5,000 美元。安全機構提醒用戶不要點擊鏈接、連接錢包或下載惡意軟體。
(2) Gnosis X 賬號入侵釣魚
損失金額:暫未披露
事件性質:6 月 25 日,Gnosis 官方 X 賬號遭入侵,駭客發布虛假投票、獎勵活動等內容誘導用戶點擊惡意鏈接。安全機構發布警告,提醒用戶不要與該賬號互動、點擊鏈接、連接錢包或簽署交易。已與釣魚網站交互的用戶需立即撤銷錢包授權並將資產轉移至安全錢包。
(3) 假冒 MetaMask 插件釣魚
損失金額:暫未披露
事件性質:6 月初,出現假冒的 MetaMask 瀏覽器插件,通過第三方應用商店及釣魚網站傳播,誘導用戶導入助記詞以完成資產清空。安全機構已就此發布多次預警,提醒用戶僅從官方渠道下載錢包插件。
2026 年 6 月安全態勢核心變化:攻擊目標從傳統協議向 MEV 機器人、跨鏈橋擴展,新型攻擊路徑(供應鏈注入、ZK 驗證缺陷、EIP-7702 委託授權釣魚)集中爆發。跨鏈橋持續「失守」,Secret Network 攻擊持續 7 天未被發現,暴露鏈間驗證機制的結構性脆弱性。
個人用戶需警惕惡意授權和釣魚鏈接,高價值資產使用獨立錢包隔離風險;項目方應取消跨鏈橋單點驗證設計,對 MEV 類自動化系統實施嚴格授權管控;行業層面需建立跨鏈橋安全標準,推動 APT 威脅情報共享。
零時科技安全團隊建議:
• 個人:定期檢查並撤銷錢包授權,警惕釣魚鏈接和惡意簽名請求;高價值資產使用獨立錢包隔離風險;遇可疑交易第一時間保留鏈上證據。
• 項目方:加強跨鏈橋驗證機制的多層校驗;對自動化交易系統實施嚴格的授權管理;確保合約代碼開源並接受第三方審計;建 立7×24 小時異常監測與熔斷機制。
• 行業:推動跨鏈橋更完善的驗證標準;加強APT威脅情報共享;推動全球監管協作,加大對國家級駭客的聯合打擊力度。零時科技安全團隊將持續關注鏈上安全態勢,為行業提供前沿安全預警與解決方案。
來源:金色財經
發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
上一篇
下一篇