Meta Pool 警惕冒充官方质押池和代币的欺诈合约

加密“扳手”攻击在 2026 年激增 41%，前四个月 $101M 受损：CertiK

据 CertiK 称，2026 年前四个月加密货币持有者因“扳手攻击”损失了约 1.01 亿美元，全球已核实 34 起事件——较 2025 年同期增长 41%。如果这一趋势持续，该公司预计全年损失将达到数亿美元。值得注意的是，82% 的攻击发生在欧洲，法国记录了 24 起事件。“扳手攻击”（针对加密货币持有者的针对性暴力、勒索与胁迫）已成为一种成熟的威胁路径。出现了显著变化：2026 年的 50% 以上事件将目标指向主要受害者的家人，既可能是直接目标，也可能是施压的筹码。攻击者愈发采用数据驱动的定向方式：与仅依赖实地监视相比，他们更倾向于从线上经纪商购买受害者信息。

LayerZero 针对 Kelp DAO 被利用事件发布公开道歉，承认单一验证者设置存在故障

据 The Block 称，LayerZero 于周五就其对 4 月 18 日漏洞的处理公开道歉。该漏洞从 Kelp DAO 的跨链桥中盗走了 2.92 亿美元的 rsETH。该协议承认其错误在于允许其去中心化验证者网络作为高价值交易的唯一验证者，并推翻了其此前指责 Kelp DAO 配置选择的立场。LayerZero 表示，该漏洞影响了网络上约 0.14% 的应用，以及使用该协议的全部资产中的 0.36%。此次事件促使主要协议进行迁移；Kelp DAO 和 Solv Protocol 随后将其跨链基础设施转移至 Chainlink 的 CCIP，称是基于安全方面的担忧。

加密“撬锁”攻击在 2026 年增长 41%，以家庭成员为目标

加密安全公司 CertiK 估计，2026 年前四个月加密货币持有者因“撬锁攻击”损失了大约 1.01 亿美元，这比 2025 年同期经验证的事件增加了 41%。如果这一趋势按此速度持续，2026 年全年损失可能达到数亿美元。 撬锁攻击——一种网络安全术语，指通过突破软件安全系统实施的物理袭击和敲诈尝试——已成为“加密货币持有者的成熟威胁途径”，CertiK 表示。该公司在 2026 年初核实了 34 起全球事件，而 2025 年全年报告了大约 70 起物理袭击，不过由于其性质，许多攻击可能未被上报。 地理分布与欧洲集中 值得注意的是，34 起事件中有 28 起（82%）发生在欧洲，标志着显著的地理转移。法国仍是重灾区：仅在 2025 年就记录了 24 起袭击，因而在“按国家逐一拆分”的对比中“优势巨大”，CertiK 指出。这与 2024 年全年 20 起袭击形成对比。相反，2025 年第一季度美国的已报告威胁从 9 起降至 3 起，而亚洲从 25 起降至 2 起。 CertiK 认定，导致法国集中发生的因素包括 Ledger 和 Binance 等旗舰公司在当地的存在、针对该国的大

CISA 列出 Linux“复制失败”漏洞；10 行代码可实现最高权限提权

据 BlockBeats 称，5 月 9 日，Linux 内核“Copy Fail”漏洞已被添加到美国网络安全与基础设施安全局（CISA）的已知被利用漏洞（KEV）目录中。该缺陷自 2017 年以来影响多种主流 Linux 发行版，并允许具备普通用户权限的攻击者通过大约 10 行 Python 代码升级到 root 访问权限。 由于众多加密货币基础设施组件依赖 Linux——包括交易所、验证者节点、挖矿矿池、托管钱包和云端交易系统——该漏洞对加密行业可能带来潜在风险。若被利用，攻击者可能窃取私钥、入侵验证者节点、获取管理权限，或对受影响服务器发起勒索软件攻击。

Chrome 于 5 月 9 日自动下载数 GB 的 Gemini Nano AI 模型，引发加密社区安全担忧

据 BlockBeats 称，5 月 9 日，Chrome 在未征得用户明确同意的情况下，自动下载了一个多 GB 的 AI 模型文件（Gemini Nano）到用户设备上，用于本地欺诈检测、网页摘要以及 AI 功能。 尽管 Google 表示，本地 AI 执行可增强隐私和安全性，但加密用户对缺乏透明度以及未获明确授权表示担忧。随着浏览器越来越成为加密钱包、链上交易和 DApps 的核心入口，此举也加剧了行业对攻击面扩大的担忧，其中包括恶意扩展、伪造的交易页面以及钱包被劫持的风险。