黑客

ChainCatcher 消息，据官方消息，KelpDAO 表示，过去几天团队在合作伙伴、盟友及社区支持下持续推进相关事件处理，目前讨论正朝积极方向发展，并正加快达成合适解决方案。项目方强调，始终坚持「用户优先」的核心原则，后续措施也将以保障整体用户利益为导向逐步落地。 在过去四天中，Kelp 团队联合多方全天候运作，与各相关方密切沟通，并在多条潜在解决路径上取得实质进展。其中包括 Arbitrum Security Council 采取措施冻结被盗资金，以及 SEAL 911 参与初步调查，为事件提供客观清晰的分析支持。 Kelp 表示，目前工作的重点仍集中在保护用户资产安全与强化协议本身。本次事件不仅对项目具有关键意义，也对整个行业具有启示价值。团队将继续通过官方渠道披露后续进展，并感谢生态伙伴与社区的持续支持。 此前报道，KelpDAO 黑客已基本将 1.75 亿美元 ETH 洗钱为 BTC。

ChainCatcher 消息，据链上分析师余烬监测，用时一天半，KelpDAO 黑客已将 75,700 枚 ETH（1.75 亿美元）基本全部兑换为 BTC。 黑客主要通过 THORChain 协议进行跨链兑换，该行为为 THORChain 贡献了 8 亿美元交易量及 91 万美元平台手续费收入。

ChainCatcher 消息，据彭博社援引杰富瑞报告称，上周末一场针对小型加密项目、涉及近 3 亿美元的黑客攻击，以及随后引发的最大去中心化借贷平台 100 亿美元资金挤兑事件（KelpDAO 和 Aave 风波），可能会削弱华尔街对区块链技术的兴趣。 杰富瑞数字资产研究团队分析师 Andrew Moss 指出，过去一年中，银行、资产管理公司及支付机构一直在开发与此次被朝鲜黑客利用的技术系统类似的区块链产品。报告认为，虽然此类事件不太可能直接波及传统金融市场，但警告传统金融机构可能会因此暂停相关进程，并在进一步推进区块链业务前重新评估风险。

ChainCatcher 消息，彭博社援引 Jefferies LLC 报告称，上周末一场从小型加密项目中抽走近 3 亿美元的黑客攻击，以及由此引发的最大去中心化借贷平台 100 亿美元资金挤兑事件，可能会减缓华尔街对区块链技术的兴趣。 Jefferies 数字资产研究团队分析师 Andrew Moss 指出，银行、资产管理公司和支付机构过去一年一直在开发与此次被朝鲜黑客利用的技术系统类似的区块链产品。 虽然报告认为此次事件不太可能波及传统金融市场，但警告称，传统金融机构可能会因此暂停脚步，并在进一步推进区块链业务前重新评估相关风险。

ChainCatcher 消息，据 Volo 官方公告，Sui 网络上的 BTCFi 与 LST 协议 Volo 发生安全漏洞事件，约 350 万美元资产（含 WBTC、XAUm 及 USDC）从三个特定 Vault 中被盗。事件发生后，团队已立即通知 Sui 基金会及生态合作伙伴，并冻结全部 Vault 以阻止损失扩大。Volo 表示，此次漏洞仅涉及三个 Vault，其余 Vault 不存在相同攻击向量，其他约 2800 万美元 TVL 资产安全无虞。官方强调将自行承担本次损失，不会将损失转嫁给用户，并将在调查完成后发布完整事后报告及补救方案。

ChainCatcher 消息，据 Cointelegraph 报道，DefiLlama 数据显示，过去 10 年加密领域共发生 518 起黑客事件，累计损失超过 170 亿美元，其中大量损失与私钥泄露、网络钓鱼及其他凭证类攻击有关。 随着智能合约安全持续提升，攻击者正更多转向钱包安全、签名基础设施、开发工具及用户操作等环节。近期，Kelp DAO 的 rsETH 跨链桥遭攻击，约 11.65 万枚 rsETH 被盗，按当时价格计算价值约 2.9 亿至 2.93 亿美元。

ChainCatcher 消息，火币 HTX 全球顾问孙宇晨以线上形式重磅亮相 HTX Genesis 黑客松香港开幕式，并分享了对 AI Agent 技术在 Web3 领域的应用前景及行业未来发展方向的最新判断。他指出， AI Agent 将取代传统交互方式，成为下一阶段 Web3 生态的核心驱动力。 他解释称，过去的 Web3 应用往往伴随着极高的学习门槛和复杂的链上交互，而 AI Agent 的引入，将推动去中心化应用（ DApp ）从“手动操作”向基于自然语言的“意图驱动”演进。这意味着， AI Agent 能够自主理解用户需求、自动规划路径并完成跨链、交易等复杂的链上结算。这种智能化与自主化的范式转变，不仅将极大释放链上生产力，更将成为打破 Web3 用户增长瓶颈、引领行业迈向真实大规模采用（ Mass Adoption ）的全新破局点。 据悉， HTX Genesis 黑客松由 HTX DAO 、 B.AI 主办， TinTinLand 、 OpenCity 联合主办，吸引了众多开发者社区、投资机构、项目方、交易平台及公链生态参与。

ChainCatcher 消息，由 HTX DAO 、 B.AI 主办， TinTinLand 、 OpenCity 联合发起的 HTX Genesis 黑客松在香港开幕。开幕现场人气高涨，交流频次与互动密度持续攀升，开发者、投资人及生态参与方之间形成高强度对话氛围。 HTX DAO 大使 Molly 在现场以“ HTX DAO 生态发展计划：千万级生态基金发布与价值闭环战略”为主题进行分享。她指出， HTX Genesis 黑客松的核心愿景是基于交易所腹地建设自由金融港。围绕这一目标，构建了涵盖全产业链的五大生态矩阵，其中：火币 HTX 作为核心业务引擎与流动性中心； HTX DAO 担任生态的治理枢纽与中心化决策大脑；公链与创新层以波场 TRON 提供支付网络支持，以 JustLend 、 SunX 等构建坚实的 DeFi 基础设施； HTX Ventures 专注于行业前沿，为优秀项目提供投资、孵化与加速服务； B.AI 则瞄准未来趋势，致力于打造面向 AI Agent 时代的金融基础设施。 Molly 进一步强调，围绕未来发展，火币 HTX 明确提出了“稳定、透明、机构化、 AI 赋能”四大核心战略关键词，旨在在复杂市场环境中提升平台的长期竞争力，并为生态参与者提供更具确定性的增长预期。

ChainCatcher 消息，DefiLlama 创始人 0xngmi 于 X 平台发文表示，核对了数据，如果 Arbitrum 将扣押的资金优先用于 Arbitrum 上的 AAVE 市场，在所有 rsETH 共担减值的情况下，Aave 在 Arbitrum 上将完全没有坏账。 在只保障主网 rsETH 价值（无视 Layer2 上映射版 rsETH 价值）的情况下，Aave 在 Arbitrum 上将坏账减少 80%，从 8800 万美元减少到 1700 万美元。

ChainCatcher 消息，Arbitrum 安全委员会公告，已采取紧急行动解救了存放在 Arbitrum One 地址中的 30,766 枚 ETH，该地址与 KelpDAO 漏洞有关。安全委员会在执法部门的协助下确定了攻击者的身份，并始终在维护 Arbitrum 社区安全和完整性的前提下，确保不会影响任何 Arbitrum 用户或应用程序。 经过大量的技术调查和审议，安全委员会确定并执行了一项技术方案，在不影响任何其他链状态或 Arbitrum 用户的情况下，将资金转移到安全地点。截至美国东部时间 4 月 20 日晚上 11:26，资金已成功转移到一个中间冻结钱包。原持有资金的地址已无法访问这些资金，只有 Arbitrum 管理机构才能采取进一步行动转移这些资金，该行动将与相关各方协调进行。

ChainCatcher 消息，Curve 创始人 Michael Egorov 发文称，近期 DeFi 中大量本可避免的安全事件，根源在于中心化单点故障，这正在损害整个行业。他以 Aave 与 rsETH 事件为例表示，相关问题应在事故发生前被预防，而非事后补救。他呼吁行业共同制定 DeFi 安全标准，减少单点故障，并让项目方、审计机构与风险评估团队共享最佳实践；其还建议可由以太坊基金会与 Solana 基金会协调生态参与制定安全原则与规则。

ChainCatcher 消息，据官方社媒消息，由 HTX DAO、B.AI 主办，TinTinLand、OpenCity 联合主办的 HTX Genesis 黑客松已进入 1 天倒计时。活动汇聚行业 VC、Builder 及顶级生态项目负责人。在 HTX Genesis 黑客松中脱颖而出的优质项目，将获得 TRON、HTX 与 B.AI 的持续算力支持、技术生态对接、联合推广及深度合作。 火币 HTX 全球顾问孙宇晨、HTX DAO 大使 Molly 将在开幕式发表主题分享。其中，孙宇晨将围绕 AI × Web3 融合趋势，分享对行业未来发展方向的最新判断；Molly 将解读 HTX 与 HTX DAO 的生态进展与协同路径。

ChainCatcher 消息，DefiLlama 创始人 0xngmi 对 KelpDAO 在 rsETH 黑客事件后可能采取的三种行动路径进行了推演，三种路径均有明显缺陷，最终决策将考验 KelpDAO 的信誉与 Aave 的风险承受能力。 路径一：所有用户共同承担损失。KelpDAO 对所有 rsETH 持有人统一按比例扣减 18.5% 的损失。目前 Aave 全网有约 66.6 万枚 rsETH 抵押，主要在主网和 L2 上高度杠杆化（假设均处于 95% 清算 LTV）。一旦社会化损失，主网所有仓位的权益将被完全抹除，同时产生约 2.16 亿美元坏账。Umbrella 协议可覆盖 5500 万美元坏账，Aave 国库再额外承担 8500 万美元，仍剩约 7600 万美元缺口。KelpDAO 可能通过借贷或出售 Aave 代币（当前市值约 5100 万美元）补齐，但这仍会给 Aave 带来显著压力，且所有用户都需共同承担损失。 路径二：直接 Rug L2 上的 rsETH 持有人。KelpDAO 只保障主网 rsETH，将 L2 上的 rsETH 视为无价值。Aave L2 目前有约 3.59 亿美元 rsETH 抵押品（按当前预言机价格计算），若全部按最大杠杆计算，将产生约 3.41 亿美元坏账，且完全无法获得 Umbrella 协议覆盖。Aave 只能使用国库或借贷来挽救部分市场，最可能放弃 Arbitrum、Mantle 和 Base 等损失最大的链，导致这些 L2 市场崩盘。这种方案对 Aave 主网影响较小，但会严重损害 L2 生态信誉，并可能引发连锁反应。 路径三：尝试用黑客攻击前快照仅返还当时持有人，极难执行。KelpDAO 试图只对黑客攻击发生前的 rsETH 持有人按快照全额偿还，后续买入或转移的持有人则自行承担损失。但由于资金在攻击后已大量流动，且 DeFi 协议本质是流动性池，无法真正区分不同批次存款人，技术执行难度极高。黑客在 Aave 主网借贷 1.24 亿美元、Arbitrum 借贷 1800 万美元，扣除 Umbrella 协议覆盖后仍剩约 9100 万美元损失。该方案虽理论上能最小化扩散影响，但实际操作几乎不可能，容易引发法律与社区争议。

ChainCatcher 消息，Defillama 创始人 0xngmi 在 X 平台发文表示，KelpDAO 黑客事件引发了 DeFi 借贷协议的连锁恐慌性提款，即使是 Solana 上以及未受直接影响的协议也未能幸免，具体数据如下：Aave 净流出 62 亿美元（-23%），Morpho 净流出 7.16 亿美元（-9%），Sky 净流出 2.72 亿美元（-4%），JupLend 净流出 7600 万美元（-8%）。 0xngmi 补充表示，整个 DeFi TVL 因此直接蒸发近 100 亿美元。这类事件里没人是赢家，只会让整个行业的“蛋糕”缩小，所有人都受损。

ChainCatcher 消息，链上数据显示，Kelp DAO 基于 LayerZero 的 rsETH 桥接协议疑似遭黑客利用，损失 116,500 个 rsETH，价值约 2.92 亿美元。 Kelp DAO 官方表示，已发现涉及 rsETH 的可疑跨链活动，现已暂停主网和多个 Layer2 上的 rsETH 合约，正在与安全专家合作，后续将通报最新情况。

ChainCatcher 消息，以太坊基金会近期发布 ETH Rangers 安全项目总结报告，披露在为期 6 个月的安全资助计划中，研究人员共识别出约 100 名疑似国家资助的网络行动人员，其中包括来自朝鲜的渗透者，已在多个 Web3 项目中活动。报告显示，相关调查通过“Ketman Project”等项目推进，研究人员向约 53 个区块链项目发出预警，揭示这些人员以虚假身份渗透开发团队，并参与资金流转及技术岗位工作。同时，部分相关资金已被冻结，规模达数十万美元级别。安全团队还将相关情报纳入对 Lazarus Group 的威胁分析体系，并在 DEF CON 等安全会议中进行披露，显示国家级网络攻击正持续渗透加密行业基础设施。整体成果方面，该计划累计冻结或追回资金超 580 万美元，报告或记录漏洞超过 785 个，并处理 36 起安全事件，显示当前以太坊生态面临的安全威胁已从单纯漏洞攻击，升级至包含国家级行为体的系统性风险。此外，报告指出，朝鲜相关黑客还通过“远程 IT 工作者”等方式渗透项目，涉及账户接管、自由职业平台渗透及资金转移等多种攻击路径，已成为行业重点防范对象。以太坊基金会强调，去中心化网络的安全需要“去中心化防御”，未来将持续支持安全研究、威胁情报及人才培养，以应对不断升级的国家级网络威胁。

ChainCatcher消息，据 Cointelegraph 报道，自 4 月 1 日 Drift Protocol 遭受 2.8 亿美元攻击以来，短短两周多时间里，至少有 12 个 DeFi 协议和加密货币企业遭到攻击。 自 4 月初以来，针对加密协议或公司的攻击包括 CoW Swap、Hyperbridge、Bybit、Dango、Silo Finance、BSC TMM、Aethir、MONA、Zerion，以及最近的 Rhea Finance 和 Grinex 交易所。  其中，DeFi 协议 Rhea Finance 报告称，攻击者“利用 Rhea 保证金交易功能中的一个漏洞执行了一次协同资金池操纵攻击”，影响了 Rhea Lend 智能合约。据区块链安全公司 CertiK 称，被盗资金约有 760 万美元。

ChainCatcher 消息，针对近期发生的“ListaDAOLiquidStakingVault”合约被攻击事件，ListaDAO 官方发布声明澄清，该被攻击合约并非官方部署，而是由未经验证的第三方使用相似名称创建的仿冒合约。ListaDAO 的官方合约均未受到该事件影响。 据 GoPlus 安全团队深入分析，此次攻击发生在 2026 年 4 月 16 日，根本原因在于该第三方合约存在业务逻辑缺陷。当进行代币转账时，会触发 Dividend.setShares() 函数并改变合约内的份额记账，进而影响了 claimReward() 函数中的奖励计算。攻击者正是利用这一漏洞耗尽了该合约内的资产。 GoPlus 提醒，由于该逻辑漏洞同时存在于上述两段合约代码中，任何分叉或复用该代码的开发项目均面临高被利用风险。建议相关开发者及时进行代码排查与修复，并引入持续审计机制以保障智能合约安全。