五月份三大安全事件
五月份最严重的损失并非源于智能合约漏洞,而是源于信任边界的失效,包括私钥泄露、跨链验证缺陷,以及在铸造权限和跨链桥语义方面的操作安全疏漏。
这一模式提醒我们,Web3 安全不仅仅局限于智能合约代码。每个系统在其完整的生命周期中都嵌入了信任假设。当其中任何一个假设被打破时,它就会成为最薄弱的环节,而这往往也正是攻击者唯一需要利用的点。
Echo Protocol:约 7670 万美元
2026 年 5 月 19 日,Echo Protocol 在 Monad 上部署的 eBTC 遭遇了重大安全事件。根据攻击发生时铸造的 eBTC 挂钩价值计算,损失估计约为 7670 万美元。
根本原因是管理员私钥泄露,而非传统的智能合约逻辑漏洞。在获得特权控制权后,攻击者在未存入相应抵押品的情况下铸造了约 1,000 个未足额担保的 eBTC。由于 eBTC 旨在追踪 BTC 价值,这种未经授权的铸造行为立即造成了巨大的名义敞口。随后,攻击者将部分伪造的供应量转移到下游协议中,使此次事件演变为跨协议风险事件。
该案例强调,对于合成资产或封装资产系统而言,关键的安全边界不仅在于合约的正确性,还在于铸造权限是否过度集中在单个特权密钥中。一旦该信任锚点被攻破,攻击者便能完全绕过预期的抵押模式。
StablR:约 1280 万美元
2026 年 5 月 24 日,StablR 的稳定币系统遭遇安全漏洞,涉及约 1280 万美元的未经授权的代币发行。
根据公开报告,这主要是一起基础设施或密钥管理方面的泄露,而非传统的智能合约攻击。攻击者获得了基于多签的铸造权限,随后能够替换或夺取所有权角色,从而非法铸造 USDR 和 EURR。尽管攻击者在该链上实现的收益低于非法铸造代币的总名义价值,但该事件仍引发了脱锚,并暴露了在铸造权限隔离、签名者安全和多签治理设计方面的短板。
对于稳定币协议而言,此类事件尤为严重,因为攻击者无需直接耗尽国库储备。一旦出现未经授权的铸造行为,市场对赎回能力的信心可能会瞬间崩溃,导致脱锚并引发流动性迅速恶化。
Verus:约 1170 万美元
2026 年 5 月 18 日,Verus-Ethereum 跨链桥遭到攻击,损失约 1170 万美元,涉及 ETH、tBTC 和 USDC。截至 2026 年 5 月 23 日,约 75% 的被盗资金已被归还。
根本原因是 以太坊侧导入路径中的类型验证失败。Verus-Ethereum 跨链桥的设计逻辑是:在证明以太坊上有符合条件的导出对象存在于公证状态下的 Verus 链上后,即释放以太坊上的资产。然而,存在漏洞的逻辑仅验证了是否存在某个 Verus 侧的对象,却未能确保所证明的对象确实是预期用于支付处理的有效主要导出项。结果,攻击者能够在 Verus 上伪造一个包含手工制作的补充导出输出的空白导出项,然后在以太坊上证明该对象,并诱导跨链桥将其错误地分类为正常的价值承载导出项。
随后,攻击者提供了与嵌入式传输哈希承诺相匹配的 serializedTransfers,使得欺诈性导入通过了以太坊侧的检查,并触发了跨链桥的资产释放。此次事件表明,跨链桥的安全不仅取决于加密证明验证,还取决于对对象类型、状态、标志、编码边界和执行语义的严格验证。如果协议证明的仅仅是一个对象存在,而不能证明它是用于预期操作的正确对象,那么即使是有效的证明也可能被滥用来授权无效的支付。
以上信息基于 2026 年 6 月 1 日 00:00 (UTC) 的数据。
本期四月份安全事件简报到此结束。若需深入分析区块链安全事件及 Web3 安全趋势,您可以浏览我们的资源库。
您可以在我们的安全事件库中了解更多信息。
保持警惕,确保安全!
