安全事件

美司法部對田納西三人 Armstrong、Chindavanh、Rucker提出聯邦起訴，跨州偽裝快遞入室，逼轉加密資產，單筆最高損失650萬美元，涉案地點包含舊金山、聖荷西、Sunnyvale、洛杉磯，案發期間為2025/11–12/31；全球當年有72起扳手攻擊。

根據 Slow Mist 的說法，去中心化航運項目 Aurellion 於今天（5 月 12 日）遭受攻擊，攻擊者取得 Diamond 合約的控制權，並從多個已授權的受害者地址中竊取並清空 455,003 USDC。

根據區塊鏈資安公司 SlowMist 的說法，其威脅監測系統 MistEye 偵測到一種名為「Mini Shai-Hulud」的複雜 npm 蠕蟲，正在透過開發者專案擴散，包括 TanStack、UiPath 與 DraftLab。惡意程式使用遭入侵的 GitHub 憑證來發布偽裝成合法更新的套件，並注入一個名為 routerinit.js 的隱藏腳本，讓它在 GitHub Actions 等 CI/CD 環境中靜默執行。該蠕蟲鎖定 CI/CD 金鑰、雲端基礎設施憑證以及加密貨幣錢包資訊，並透過 GitHub 基礎設施外傳資料。SlowMist 建議受影響的專案立即掃描 CI/CD 管線中的 routerinit.js，輪替所有外洩的 GitHub 與雲端憑證，並在開發環境中監控是否有可疑的背景活動。

根據 ChainCatcher 報導，Goliath Ventures 前執行長 Christopher Delgado 最近在美國檢方指控其經營一個 3.28 億美元的加密貨幣龐氏騙局後，向投資者道歉。Delgado 表示，他辜負了投資者的信任，並自願回來面對詐欺與洗錢的指控。 檢方指稱，2023 年 1 月至 2026 年 1 月期間，Delgado 向投資者承諾透過「加密流動性池投資」提供固定的每月回報，但卻使用後續資金來支付先前的投資者。若被定罪，被告最高可能面臨 30 年的聯邦監禁。Delgado 目前已獲保釋。

根據 GoPlus，過去 36 小時內發生了兩起私鑰外洩事件，合計造成 238,000 美元損失。地址 0xUnihax0r 損失 200,000 美元，且先前已上傳交易機器人並取得 Telegram 存取權。第二個遭到攻擊的地址，與一起影響 574 個地址的較大規模私鑰外洩事件相關。

BeInCrypto 指 Roaring Kitty 的 X 帳號重返並發布 Solana Pump.fun 地址與短片，風格與以往市場評論不同，普遍懷疑遭入侵。貼文指向 Red Kitten Crew（RKC）並稱持有 GME 與 RKC，貼文與短片均已刪除。實際上同名的 Solana RKC 與 BNB Chain RockyCat 互無關聯，前者市值一度近千萬美元，後者 24 小時漲幅 25%。多位分析師認為可能被盜或為混淆策略，Gill 尚未回應。

據 ChainCatcher 指出，3 月 22 日，Resolv 的簽署基礎設施遭到入侵，導致約 8,000 萬美元的未獲保障 USR 代幣遭到惡意發行。Fluid 因其 1 億美元的曝險而遭受 2,100 萬美元的損失。 損失分配最終如下：Resolv 承擔 970 萬美元，Fluid 的治理金庫吸收 820 萬美元，團隊承擔 150 萬美元。剩餘的 USR 代幣由 Resolv 在合約層面銷毀。Fluid 確認其智能合約未遭受入侵，且所有用戶資金都安全，並維持完整的協議償付能力。協議已在回應之下升級其預言機以及定價風險控管系統。

Step Security 指出，TeamPCP 發起 Mini Shai-Hulud 供應鏈蠕蟲攻擊，侵入 84 個 TanStack npm 套件並植入惡意載荷，目標竊取 CI/CD 憑證。該蠕蟲自傳播，取得金鑰後自動感染同維護者套件，並利用劫持的 OIDC 令牌透過 TanStack GitHub Actions 發布帶有 SLSA Build Level 3 的版本，具記憶體抓取、憑證收集、持久化與外洩能力。建議清除受影響版本、輪換憑證、移除持久化檔案及轉移加密貨幣錢包。

根據 Stream Finance 在 X 上的官方聲明，該交易協議正在尋求方法，以最大化為客戶與債權人帶來的資產價值，目標是快速且審慎地整合、清算並分配資產。團隊正考慮數項需要客戶與債權人參與的策略替代方案，更多細節預計在未來幾週內公布。這是在該協議去年 11 月披露遭受 9300 萬美元資產損失並隨後暫停提領之後發生的，該事件引發 XUSD 的顯著偏離錨定。

根據 BlockBeats，Roaring Kitty 的 X 帳號在 5 月 12 日早些時候遭到入侵，並發布了一則針對 Meme 幣 Red Kitten Crew（RKC）的合約。該代幣市值一度飆升至 1200 萬美元，隨後下跌至 180 萬美元。其後，Roaring Kitty 重新取得帳號控制權，並刪除了包含該代幣合約地址的貼文。

Binance 聲稱，其 AI 資安系統集體協助挽救數百萬名使用者，避免在 2025 年第 1 季到 2025 年第 2 季之間遭受詐騙的潛在損失達 105.3 億美元，據週一發布的一篇部落格文章稱。全球最大加密貨幣交易所已推出約兩打由 AI 驅動的資安功能，以保護使用者免於加密貨幣詐騙與釣魚企圖。 由 AI 驅動的資安功能 Binance 的資安基礎設施採用多項 AI 技術來偵測並防止詐欺。電腦視覺用於偵測偽造的付款證明，而即時語言分析則有助於在點對點交易中辨識詐騙模式。根據 Binance 的說法，AI 驅動的決策機制如今為 57% 的詐欺控管提供動力，相較於產業基準，促成信用卡詐欺案件率降低 60–70%。 在身分驗證方面，Binance 的 KYC 系統已進化，以因應日益複雜的深度偽造（deepfakes）與合成身分（synthetic identities），Binance 表示，在沒有 AI 的傳統手動流程下，能在營運效率上帶來最高 100 倍的提升。 2026 年第 1 季績效指標 僅在 2026 年第 1 季，Binance 就宣稱已保障 19.8 億美元資金不受來自

根據印度內政部（Ministry of Home Affairs），該國的國家網路犯罪機構在 4 月 20 日發布了一份正式諮詢，點名了三個偽造的「Verify Crypto Assets on BNB Chain」網站，目標是 Trust Wallet 使用者。新的攔截程式網域 buepux.com 於 5 月 3 日加入該清單，並且已被 MetaMask 阻擋。Darktrace 研究人員追蹤到一個變種，其透過惡意的授權交易，在兩分鐘內從單一受害者手中竊取了 47 萬美元。

加密貨幣資安公司 SlowMist 已發布安全警示，警告針對 TRON（TRX）錢包使用者的高風險釣魚攻擊。根據該公司的新聞稿，攻擊者製作了惡意的 Chrome 擴充功能，模仿官方 TronLink 錢包，並使用精密的偽裝手法，誘使使用者安裝。這個假擴充功能會竊取錢包憑證，並即時傳送給攻擊者。 攻擊手法 惡意擴充功能會使用 Unicode 雙向控制字元以及類似的西里爾字母來偽裝擴充功能名稱，使其幾乎與合法的 TronLink 錢包擴充功能相同。假擴充功能會在 Chrome Web Store 上架，並利用官方版本的高下載量與正面評價，讓一般使用者看起來更值得信任，因此偵測極為困難。 攻擊鏈 一旦安裝完成，惡意擴充功能會透過遠端伺服器上傳釣魚頁面。該頁面會完美複製官方 TronLink 網頁錢包介面。當受害者透過假介面登入其 TRON 錢包時，擴充功能會擷取其私鑰、keystore 檔案與密碼。這些被竊取的資訊會透過 Telegram 機器人即時傳送給攻擊者，從而完成憑證竊取鏈。 建議的 TRON 使用者應對行動 SlowMist 建議採取以下防護措施： 立即檢查並從瀏覽器中移除任何來自

根據 Foresight News，Huma Finance 的 legacy v1 合約部署在 Polygon 上，今日遭攻擊者利用，導致損失 101,400 USDC。該協議表示，使用者資金不受影響，其 PST 代幣也未受影響。部署在 Solana 上的 v2 系統（一個完整重建）不易受此漏洞影響。Huma Finance 已完全暫停 v1 的運作，因其先前已計劃關閉 legacy 流動性池。

根據 Odaily，交易者 A（@missoralways）表示，其連接到 Sigma 的兩個錢包近期遭到清空，這也成為其在六個月內遭入侵的第二個錢包。該交易者稱，他們先前在 Sigma 中存放七位數資產而未出現安全問題，但兩次清空都發生在錢包餘額低於 10,000 美元時。此外，另一名使用者在類似情況下損失了約 20 萬美元的資產。Sigma 團隊已針對這些事件展開調查。

根據 Arkham Intelligence 的說法，5 月 11 日，區塊鏈分析平台發布了一份報告，揭露投資詐欺占 2025 年加密貨幣犯罪損失的 49%。報告援引 FBI 網路犯罪投訴中心（Internet Crime Complaint Center）的數據指出，2025 年美國境內與加密相關的犯罪損失超過 110 億美元。報告指出，數位資產犯罪如今已涵蓋多種形式，包括投資詐騙、洗錢、勒索軟體、規避制裁以及恐怖分子融資，其中結合精心設計的戀愛詐騙與投資話術的複合詐騙，正在推動鉅額損失。

根據 SlowMist 的資安監控系統 MistEye，一款惡意的 Chrome MV3 擴充功能正以釣魚攻擊鎖定 TRON 錢包使用者，企圖竊取助記詞、私鑰、金鑰庫檔案與密碼。該擴充功能使用 Unicode 混淆與品牌冒充，將自己偽裝成官方外掛；然後在安裝後載入遠端 iframe 彈出頁面，誘使使用者輸入敏感資訊，並透過 Telegram Bot 進行傳送。 惡意基礎設施包含網域 tronfind-api.tronfindexplorer.com 與 trx-scan-explorer.org。該擴充功能的識別碼為 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建議使用者立即解除安裝該擴充功能，若已提交敏感資訊，則請遷移資產。

根據 ChainCatcher，Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 於數分钟前遭到攻擊，造成約 14 萬美元的損失。