重明链迹丨每周区块链安全要闻（0615-0621）

一、核心洞察

本周Web3行业遭遇严峻的安全与宏观双重压力。黑客手段从合约漏洞转向长期社会工程与内部运营渗透。DeFi上半年黑客损失已超8.4亿美元，同比增长70%，且攻击向高频、小额、针对人类操作层的趋势演变。宏观层面，美联储转向加息预期急速升温，市场定价年底前加息两次，引发风险资产抛售。监管上，欧盟MiCA过渡期即将结束，美国稳定币法案细则出台，对行业长期合规框架形成深远影响。安全范式正从合约审计转向运营安全与人因防御，AI模型被用于自主漏洞利用的风险也已成现实。

二、要闻速览

• G7峰会联合声明，严厉打击朝鲜加密货币盗窃洗钱网络
• 欧盟MiCA过渡期7月1日结束75%旧平台或面临清退
• Secret Network跨链桥无限铸币漏洞被盗467万美元
• WLFI获OCC联邦信托银行牌照在即，稳定币USD1即将推出
• Anthropic最强模型Fable 5与Mythos 5遭白宫出口管制封禁
• 伊利诺伊州成美国首个对数字资产交易征税的州
• Secret Network跨链桥因无限铸造漏洞被盗467万美元
• 美国稳定币GENIUS Act实施细则草案发布，强化KYC制度
• jaredfromsubway因授权漏洞被反向攻击
• 欧盟新反洗钱规则2027年实施，对隐私币及匿名账户下禁令

三、全域动态

1. 安全事件

大规模协议攻击

Secret Network 跨链桥无限铸币漏洞损失467万美元
自2023年部署未审计的ICS-20合约因缺乏来源验证，攻击者伪造IBC消息铸造saTokens后赎回真实资产，攻击持续7天才被发现。

Namada 遭攻击损失60万美元
数小时内Cosmos生态又一协议遭袭，攻击细节暂未公布，社区要求黑客归还资金，安全信心再受冲击。

针对开发者的npm包供应链攻击愈发猖獗
Mastra AI的140余个npm包遭受投毒，攻击者在安装时即可触发恶意代码，窃取环境变量和加密钱包扩展凭证。同期，Red Hat的多个npm包也被发现被注入了凭据窃取程序。

智能合约漏洞与跨链桥攻击

BnbLabubu 合约漏洞被盗约111.5万美元
OLPCToken转账函数设计缺陷导致每次转帐销毁池内资产，攻击者通过操控decimalsValue大幅拉升币价后套利。

mySwap 在Starknet上被利用损失30.5万美元
攻击者部署假“EVIL”代币并利用CL合约漏洞操纵流动性池会计，抽走池内ETH、STRK等资产，协议称该界面已停用半年。

Aztec L2 旧合约漏洞被盗215万美元
已废弃的支付合约PrivateRollupBridge存在零知识证明绑定缺陷，攻击者构造假Merkle树伪造资产取出，成本仅0.134 ETH。

THORChain 因安全漏洞停摆超一个月
5月15日一名恶意节点利用GG20 TSS漏洞窃取约1070万美元，至今网络交易完全停滞，恢复时间未定，社区质疑风险管理。

Staking 合约含隐藏后门被 rug pull
部署者预留特权地址绕过onlyOwner权限，在上线后利用该后门卷走质押资金，凸显开源代码审查的盲区。

Counterstake 桥遭遇治理攻击
攻击者利用少量资金发起提案企图将挑战期从3天缩短至1秒，社区需紧急投票防御，否则桥内资产面临被盗风险。

钓鱼、恶意软件与前端攻击

Gitcoin 子域名遭 Eleven drainer 前端攻击
恶意代码通过入侵子域名注入，用户连接钱包即触发资产窃取，项目方正在进行调查。

Kiwi SOL 窃取器使用 Lighthouse 绕过检测
新型窃取器针对Solana，集成C2 API和OAuth适配器，利用Lighthouse协议漏洞绕过钱包安全提示。

Windows 剪贴板恶意木马 CryptoBandits 活跃
微软揭露该木马自2026年2月通过USB传播，每500毫秒监控剪贴板，窃取助记词并替换钱包地址，通过Tor匿名通信。

LLM 路由器劫持注入恶意调用盗取钱包
26个LLM路由器被发现向AI代理注入恶意工具调用，从而窃取加密钱包资产，强调代理基础设施的安全风险。

MEV 与套利攻击

JaredFromSubway MEV 机器人遭反向利用，损失超1500万美元
攻击者部署假包装代币和流动性池，利用机器人的自动化授权逻辑，诱导其授予无限额度后一次性抽空资金。

2. 政策监管

监管动态

SEC 释放加密友好信号，强调从执法转向合作
SEC主席在首期播客中联合多位委员表示2026年监管将转向“合作与创新导向”，并致力于使美国成为加密创新首选地。

美国发布稳定币 GENIUS Act 实施细则草案
美联储、财政部等联合发布草案，要求稳定币发行商遵守BSA并实施CIP，二级市场交易是否纳入KYC正在征询意见。

美国国会拟成立数字货币盗窃工作组
众议员提出法案，拟在司法部内重建加密犯罪工作组，协调调查与起诉加密盗窃、诈骗及洗钱案件。

伊利诺伊州将成全美首个征收数字资产交易税的州
2027年1月起对经纪人征收0.2%从业税，预计年收入6000万美元，行业团体批评其程序缺陷且具有经济破坏性。

欧盟 2027 年起实施新反洗钱规则，全面禁止隐私币
条例要求CASP对超1000欧元交易强化KYC，禁止匿名账户及隐私币服务，并设1万欧元现金支付上限。

3. 项目动态

多链 DEX Satori Finance 宣布关闭
因收入不足，平台要求用户7月16日前提款，总锁仓量从670万美元峰值跌至120万美元。

Hyperbridge 遭 250 万美元漏洞后续
跨链协议放弃修补，完全重构为无许可证明生成、无管理员密钥的新架构，并加入LayerZero适配器。

FTX 破产时 20 万卖出的 Cursor 5% 股份，现价值超 30 亿
SpaceX 以600亿美元收购AI编程助手Cursor的开发商Anysphere，凸显破产程序中资产贱卖的巨大机会成本。

ORE 质押计划出现合约漏洞，提醒用户注意
社区报告漏洞可能影响质押资产安全，呼吁暂停挖矿并等待项目方修复。

4. 公链/基础设施

量子威胁升级：7110 亿美元加密资产已暴露风险
研究显示，谷歌计算在50万量子比特下9分钟即可攻破BTC，地址以“1”或“3”开头的老地址处于风险区。

Polygon zkEVM 主网 Beta 版将于 7 月 1 日关停
官方要求用户在此之前提取所有资产，DeFi内锁定资金逾期无法取回，钱包余额将自动迁移至以太坊L1。

Algorand 发布抗量子升级路线图
目标2027-2028实现全链量子安全，应对未来量子威胁，成为首批主动防御的公链之一。

CobWebPay 用户数据库泄露，涉及 KYC 与资产信息
澳大利亚加密支付平台数据库被挂售，暴露1万余名用户手机、KYC、钱包余额及财务声明，风险极高。