撰文:Beosin
据 Beosin Alert 平台监测数据统计,2026 年 5 月,各类安全事件损失金额总计约 7615 万美元,发生重大黑客攻击事件共「36」起,主要原因为合约漏洞与私钥泄露。其中因合约 / 网络漏洞的安全事件有 17 起,因私钥泄露受损的安全事件有 10 起,DeFi 生态的代码安全与运营安全面临严峻挑战。
5 月损失 Top10 协议
连接 Verus L1 链和 Ethereum 的跨链桥 Verus-Ethereum Bridge 因合约漏洞被攻击,损失金额最大,达 1158 万美元。Echo Protocol 因私钥泄露被攻击者铸造 1000 枚 eBTC(纸面价值约 7670 万美元),但因流动性所限,最终实际获利约 513 万美元。
被攻击项目类型及各链损失情况
被攻击对象涵盖跨链桥、去中心化交易所、借贷协议、预测市场、稳定币、普通用户等多种类型,其中跨链桥损失金额最多,高达 2799.5 万,DeFi 相关的项目被攻击的次数最多,统计为 14 次。
5 月损失金额最多的链为 Ethereum,损失金额超过 4876 万美元,部分跨链桥和多数 DeFi 协议的安全事件依然以 Ethereum 为主。其次是 BNB Chain、Monad、TON,此外 Monero、Bitcoin 也有安全事件发生,链上攻击呈现多链态势。
主要安全事件分析
1. Verus:跨链消息验证缺陷
Verus-Ethereum Bridge 的运作方式是由提交方提供证明数据,表明 Verus 链上存在一笔经公证确认的合格输出,桥合约验证通过后在 Ethereum 上释放资产。而其中的漏洞在于 Ethereum 侧的桥接合约虽然验证了来自 Verus 链的证明,但未校验该数据是否为有效的原输出,使攻击者可以通过构造虚假的输出通过验证,提取远超其存款的资金。
存在漏洞的代码部分:
本次事件的漏洞与 2022 年导致 Wormhole 损失 3.2 亿美元、Nomad 损失 1.9 亿美元的漏洞属于同一类,都是桥接器验证了消息本身,却没有验证其背后的资金价值。
2. Trusted Volumes:签名参数缺陷
本次攻击者是利用 TrustedVolumes 询价(RFQ)流程中的签名设计缺陷,在实际转账时通过自定义签名数据,将转账方设定成 TrustedVolumes 的 Resolver 合约并顺利通过校验,从而把 Resolver 合约中的资产转出实现获利。
存在漏洞的代码部分:
授权检查引用的是 varg4,而执行资金转移却引用的是其它参数,缺少校验导致授权签名者域与实际扣款地址不一致。
那么攻击者只需用注册好的签名者地址签署一个订单,其中 maker = Exploit(通过签名校验),其它签名参数(代币、金额)可设为任意值,例如 1:1 的假订单,使其通过价格预言机的合理价格检查,随后从协议合约中划走资产:
3. 以 StablR 为例的私钥泄露事件
5 月出现了多起私钥泄露事件,损失金额总共超过 2500 万美元。其中 StablR 作为合规稳定币发行方,成为了稳定币以及 DeFi 赛道关于安全治理的典型教训。
StablR 推出了两种合规稳定币产品:EURR 与 USDR,其中控制 EURR 铸造的多签钱包为 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc;控制 USDR 铸造的多签钱包为 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3。
由于上述 2 个多签钱包发起交易都只需 1 个签名,攻击者通过控制 owner 地址 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d,就将地址 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 加入到上述 2 个多签钱包,实现了对项目铸币权限的控制:
此类事件并不在于代码漏洞,而是项目方的运营安全问题:没有保存好特权地址的私钥,对于高价值 / 高风险的操作没有采用高阈值多签,对于大额铸造操作没有时间锁,缺乏快速应急响应机制。
Web3 安全威胁趋势
2026 年 Web3 安全呈现的最深层趋势是攻击面的系统性扩大。漏洞正同时在代码、基础设施、交互操作和人为流程中出现,单单依靠数次安全审计或工具无法覆盖运营安全、员工端、云基础设施、软件供应链等领域。这对 Web3 项目方的持续运营安全提出了更高要求。
此外,针对老旧 / 弃用的合约的攻击频发,其中的漏洞或是授权极易被攻击者利用。合约开发者或运营者应再次检查以往合约的安全性,对于弃用的合约,应及时处理或妥善转移合约中遗留的资金,联系用户取消不必要的授权。用户也应定期使用区块链浏览器或撤销授权工具检查并取消不再使用的合约授权。
