五月份三大安全事件
五月份最嚴重的損失並非源於智能合約漏洞,而是源於信任邊界的失效,包括私鑰洩漏、跨鏈驗證缺陷,以及在鑄造權限和橋接語義方面的運維安全疏漏。
這種模式提醒我們,Web3 安全不僅僅局限於智能合約程式碼。每個系統在其整個生命週期中都嵌入了信任假設。當其中任何一個假設被打破時,它就會成為最脆弱的環節,且通常是攻擊者所需的唯一突破口。
Echo Protocol:約 7,670 萬美元
2026 年 5 月 19 日,Echo Protocol 在 Monad 上部署的 eBTC 遭遇了重大安全事件。根據漏洞利用時鑄造的 eBTC 掛鉤價值計算,損失估計約為 7,670 萬美元。
根本原因是管理員密鑰洩漏,而非傳統的智能合約邏輯漏洞。在獲得特權控制權後,攻擊者在未存入對應抵押品的情況下鑄造了約 1,000 個無擔保 eBTC。由於 eBTC 旨在追蹤 BTC 的價值,未經授權的鑄造立即造成了巨大的名義風險敞口。隨後,攻擊者將部分偽造的供應量轉移到下游協議中,使該事件演變為跨協議風險事件。
此案例凸顯出,對於合成資產或封裝資產系統而言,關鍵的安全邊界不僅在於合約的正確性,還在於鑄造權限是否過度集中在單一特權密鑰中。一旦該信任錨點被攻破,攻擊者就能完全繞過既定的抵押模型。
StablR:約 1,280 萬美元
2026 年 5 月 24 日,StablR 的穩定幣系統遭遇安全入侵,涉及約 1,280 萬美元的未經授權代幣發行。
根據公開報告,這主要是一起基礎設施或密鑰管理洩漏事件,而非傳統的智能合約漏洞利用。攻擊者獲得了基於多簽(multisig)的鑄造權限控制權,隨後能夠替換或奪取所有權角色,進而實現 USDR 和 EURR 的未經授權鑄造。儘管攻擊者在鏈上實現的收益低於非法鑄造代幣的全部名義價值,但該事件仍然觸發了脫鉤,並暴露了在鑄造權限隔離、簽署者安全和多簽治理設計方面的弱點。
對於穩定幣協議來說,這類事件尤為嚴重,因為攻擊者無需直接耗盡資金儲備。如果未經授權的鑄造成為可能,市場對贖回能力的信心可能會立即崩潰,導致價格脫鉤並使流動性迅速惡化。
Verus:約 1,170 萬美元
2026 年 5 月 18 日,Verus-Ethereum 橋接協議遭到攻擊,損失約 1,170 萬美元,涉及 ETH、tBTC 和 USDC。截至 2026 年 5 月 23 日,約 75% 的被盜資金已歸還。
根本原因是 Ethereum 端導入路徑中的類型驗證失敗。Verus-Ethereum 橋接協議的設計初衷是在證明合格的輸出對像在 Verus 上以公證狀態存在後,在 Ethereum 上釋放資產。然而,該漏洞邏輯僅驗證了某些 Verus 端對象的存在,卻未能確保所證明的對象確實是用於支付處理的有效主要輸出(primary export)。結果,攻擊者能夠在 Verus 上構建一個包含手工製作的補充輸出輸出的空白輸出,然後在 Ethereum 上證明該對象,橋接協議將其錯誤地歸類為正常的價值傳輸輸出。
隨後,攻擊者提供了與嵌入式傳輸哈希承諾匹配的 serializedTransfers,從而使欺詐性導入通過了 Ethereum 端的檢查,並觸發了橋接協議的資產釋放。此事件表明,橋接安全不僅取決於密碼學證明驗證,還取決於對對象類型、狀態、標誌、編碼邊界和執行語義的嚴格驗證。如果一個協議只證明對象存在,而不證明它是執行預期操作的正確對象,那麼即使是有效的證明也可能被濫用以授權無效的支付。
以上資訊基於 2026 年 6 月 1 日 00:00 UTC 的數據。
以上為四月份安全事件簡報。若需對區塊鏈安全事件及 Web3 安全趨勢進行更深入的分析,歡迎探索我們的資源。
您可以從我們的安全事件庫中了解更多資訊。
保持關注,保持安全!
