一、核心洞察
本周,安全威胁的演变与地缘政治风险的共振构成行业两大核心逻辑。一方面,攻击模式发生根本性转变:以Drift Protocol高达2.85亿美元损失为代表的社会工程学长线渗透,以及针对axios、OpenClaw等关键基础设施的供应链攻击,标志着攻击者已从寻找“代码漏洞”升级为猎取“人的信任”和“供应链入口”。某些组织在此类攻击中展现出巨大威胁。另一方面,中东冲突持续升级引发的能源危机、通胀压力及市场避险情绪,与数字资产市场内部结构性疲软(代币供给过剩、大额持有者亏损)形成负向叠加,加剧了市场整体下行压力。
二、要闻速览
• Drift Protocol遭社会工程攻击失窃2.85亿美元。
• 相关组织去年盗取16.6亿美元,本周攻击Axios npm包。
• Circle被指控未及时冻结4.2亿美元被盗USDC。
• 美伊冲突持续,霍尔木兹海峡航运受阻致油价飙升。
• BTC Q1下跌23.8%,创2018年以来最差季度表现。
• 澳大利亚通过首部Web3合规法案,要求交易所持牌。
• AI交易代理被攻击,损失4500万美元。
• Resolv因链下私钥泄露被盗2300万美元。
• CFTC起诉三州,主张对预测市场拥有专属合规权。
• 以太坊将FOCIL纳入升级,以共识层编码抗审查性。
二、全域动态
1.安全/黑客
社会工程学与高级持续性威胁 (APT)
Drift Protocol遭2.85亿美元社会工程攻击
Solana头部Perp DEX Drift Protocol遭历时六个月的深度渗透。攻击者伪装成量化交易公司,通过线下会议建立信任,最终通过恶意代码库和TestFlight应用入侵贡献者设备,利用预签名交易在12分钟内盗走2.85亿美元资产。此事件暴露了DeFi协议在权限管理和团队人员安全层面的弱点。
相关组织2025年盗取16.6亿美元数字资产
数据显示,相关黑客组织在2025年通过社会工程学和多签漏洞等手段,从Bybit、Phemex等平台盗取总计16.6亿美元数字资产,占全年被盗总额的60%。其攻击目的明确,构成了持续性的安全威胁。
axios npm库遭供应链攻击,植入远程访问木马 (RAT)
相关黑客组织通过劫持Axios维护者账户,发布了恶意版本(1.14.1和0.30.4),植入依赖包“plain-crypto-js”,可在安装时自动部署跨平台RAT。Axios作为每周下载量超亿次的基础库,此次攻击对无数依赖它的Web3前端、钱包SDK和开发者环境构成广泛威胁。
Kraken用户因社会工程诈骗损失1820万美元
一名Kraken用户疑似遭遇钓鱼或社交工程诈骗,导致价值1820万美元的资产被转移。攻击者通过THORChain将资金从以太坊跨链至BTC网络。这再次提醒用户,即使使用中心化平台,对账户的防护和警惕也至关重要。
供应链与基础设施攻击
OpenClaw被曝高危漏洞,面临供应链攻击风险
AI智能体平台OpenClaw被曝存在高危漏洞(CVE-2026-25253),其部分版本可能引入被投毒的axios依赖。该平台三个月内获得25万星标,暴露实例上万,其“高权限+外部输入”的架构在复杂部署中安全边界问题突出,已引起相关安全机构的警告。
Mac平台Infiniti Stealer恶意软件通过虚假验证窃密
新型恶意软件Infiniti Stealer通过伪造验证页面,诱骗Mac用户在终端执行恶意命令,从而窃取浏览器凭证、数字资产钱包和开发者密钥。攻击手法隐蔽,导致针对Mac用户的个人钱包盗窃案例激增。
Strapi插件与LiteLLM等遭供应链投毒
本周发生多起针对开源生态的供应链攻击。攻击者入侵了Strapi多个官方插件、Python包LiteLLM及NPM库,通过恶意代码窃取密钥、凭证、数据库密码和数字资产钱包等敏感信息,凸显开源依赖链的脆弱性。
技术漏洞与协议攻击
Resolv因链下私钥泄露被盗2300万美元
稳定币协议Resolv由于其控制稳定币USR铸造审批服务的AWS私钥泄露,导致攻击者利用权限套现,引发稳定币脱锚。14次合约审计未能防范此类链下基础设施风险。
AI交易代理遭攻击损失4500万美元
一个基于AI的交易代理遭遇漏洞攻击,损失4500万美元。该事件凸显了AI与DeFi结合场景下的新型安全挑战,包括智能体对合约的异常交互、权限滥用或被恶意指令操控的风险。
相关链上多个协议遭闪电贷与代理接管攻击
本周相关链上安全事件频发:TMM交易对遭闪电贷攻击损失166万USDT;LML协议因价格操纵被窃95万美元;另有攻击者通过单笔交易完成代理合约接管。这些攻击显示了部分项目在风控和合约管理上的不足。
Zcash修复沉睡近五年的650万美元漏洞
研究人员利用AI工具发现了一个自2020年7月就存在的关键漏洞,该漏洞允许攻击者清空其旧版资金池。幸运的是,漏洞在被利用前得到修复,团队向发现者奖励了相应价值的ZEC。
风险项目与欺诈检测
BlockDAG Network风险提示
知名链上调查员公开指控BlockDAG Network存在专业欺诈风险,称其通过长达三年的预售、夸大融资数据、制造恐慌情绪集资,并将资金通过渠道洗出。
EdgeX被指控配比不公
Perp DEX项目EdgeX被社区指控其空投分配存在严重不公:少数地址获得了大量代币,而大量社区参与者仅获得极少份额。上线后价格大幅波动,使多数参与者蒙受损失。
相关地区曝出大额资产诈骗案
印度相关警方逮捕了涉案人员,其涉嫌运营一个庞大的数字资产诈骗网络,涉及1379名受害者。资金通过壳公司和虚假资管配置应用转移,反映出区域性诈骗的复杂性。
2.宏观经济
美伊冲突升级,霍尔木兹海峡航运受阻冲击全球
中东冲突进入第六周,伊朗威胁持续封锁霍尔木兹海峡。导致全球航运成本飙升,布伦特原油价格一度突破130美元/桶。地缘政治风险溢价推高通胀预期,加剧全球市场波动。
BTC 创2018年以来最差季度表现
2026年第一季度 BTC 下跌23.8%,连续两个季度收跌。同时,链上数据显示,持有大额资产的地址第一季度已实现亏损显著,显示大额持有者正在加速止损离场。
行业面临代币供给过剩问题
分析指出,行业代币供给增速远超价值创造,导致回报稀释。超80%项目价格低于发行价,收益日益向 BTC、以太坊等头部资产集中,市场结构性失衡加剧。
美国3月CPI预期大涨,降息难度增加
受能源价格影响,预计美国3月CPI环比涨幅可能达2022年以来最大。市场对降息的预期进一步减弱,高利率环境持续压制风险资产。
3.政策监管
澳大利亚通过首部全面行业合规法案
澳大利亚正式通过《2025年数字资产框架法案》,要求相关交易所和托管平台申请金融服务许可证,并遵守客户资产保护、信息披露和行为准则。
CFTC起诉三州,争夺预测市场专属合规权
美国相关委员会主张联邦政府对预测市场拥有专属合规权,反对各州将其定性为博彩进行限制。此举旨在消除市场不确定性,确立统一的治理框架。
Circle被指控合规执行力受质疑
链上调查员发布报告,指控Circle在多起重大黑客事件中反应迟缓,导致部分被盗USDC未被及时冻结。这引发市场对USDC“合规执行力”的广泛质疑。
东南亚洗钱基础设施遭到打击
相关当局将某支付平台负责人引渡。该网络被标记为违规资金流转主要监测点,涉嫌在2021至2025年间处理大额非法资金,为诈骗活动提供关键洗钱基础设施。
4.基础设施
以太坊确定将FOCIL纳入后续升级
以太坊基金会研究员宣布,FOCIL方案已确定纳入后续重大升级。该方案旨在应对当前区块生产带来的中心化风险,将抗审查性由共识层规则强制执行。
Keeta Network提出新型代币化架构
Keeta Network提出一种新型架构,将代币发行、合规规则直接内置于协议层。该设计旨在从根本上减少因合约漏洞导致的安全事件。
5.项目动态
OpenAI完成1220亿美元巨额融资
OpenAI宣布完成新一轮融资,投后估值达到8520亿美元。资金将用于扩大AI能力规模,显示了AI领域持续吸引巨额资本。
量子计算威胁引发加密社区聚焦
谷歌量子AI团队发布研究,称优化后的算法未来可能在短时间内从公钥推导出 BTC 私钥。报告指出部分早期资产因公钥暴露面临风险,呼吁行业在2029年前迁移至抗量子技术。
