一、核心洞察

本周，密集且高额的安全事件构成了市场的主旋律，凸显出行业在高速发展期面临的严峻安全与信任挑战。核心逻辑点一在于 DeFi系统性风险的连锁爆发：KelpDAO跨链桥漏洞（约2.9亿美元）不仅成为年度最大单次攻击，更通过rsETH抵押品失效，直接导致Aave等头部借贷协议产生巨额坏账，引发超过60亿美元的资金恐慌性撤离，暴露了非隔离借贷模型与包装资产深度嵌套的脆弱性。逻辑点二在于 AI双刃剑效应进入实战阶段：Anthropic的Mythos等AI模型展示出“机器速度”发现漏洞的能力，正被交易所用于防御；但同时，AI驱动的社交工程（如针对Drift Protocol长达6个月的渗透）、供应链攻击（如Vercel内部数据泄露）和自动化漏洞利用，正在重塑威胁模型，使得攻击效率远超传统代码审计与人工响应速度。

二、要闻速览

• KelpDAO遭跨链桥攻击，损失约2.9亿美元
• Aave因rsETH抵押品失效面临巨额坏账风险
• Vercel内部数据遭窃，或引发全球供应链攻击
• Polkadot跨链桥Hyperbridge被黑，伪造10亿DOT
• Tether出资1.475亿美元救助Drift Protocol黑客受害者
• Circle因未冻结Drift黑客的USDC遭集体诉讼
• 美国SEC释放加密监管转向“合作创新”信号
• 纽约证券交易所提案允许代币化证券上市交易
• 特朗普家族关联项目WLFI被指控欺诈及中心化操控
• AI模型Mythos可快速发现代码漏洞，引监管担忧
• 苹果App Store现假冒Ledger应用，致950万美元损失
• 比特币巨鲸地址创2013年以来最大规模增持潮

三、全域动态

1.安全事件

DeFi协议与跨链桥攻击

KelpDAO遭跨链桥攻击，损失约2.9亿美元
攻击者利用基于LayerZero的rsETH桥接协议中1/1 DVN验证配置的漏洞，通过伪造跨链消息，从以太坊主网盗取11.65万枚rsETH。随后攻击者将赃物抵押至Aave等借贷协议，借出约2.36亿美元资产，导致Aave面临巨额坏账风险，并引发DeFi市场连锁资金外逃。

Polkadot跨链桥Hyperbridge遭伪造证明攻击
攻击者通过向Hyperbridge在以太坊上的网关合约提交伪造的状态证明，绕过验证，获得了桥接DOT合约的管理员权限，并凭空铸造了约10亿枚DOT。由于以太坊上桥接DOT流动性极薄，攻击者最终仅获利约23.7万美元。该事件再次凸显跨链桥的安全脆弱性。

Rhea Finance遭预言机操纵攻击，损失超1800万美元
NEAR协议上头部DeFi协议Rhea Finance遭遇预言机价格操纵攻击。攻击者通过创建虚假代币和流动性池，操纵价格反馈，进而以虚高价值的虚假抵押品借走真实资产。Tether随后冻结了部分被盗USDT。

交易所、平台与供应链攻击

Vercel内部数据遭黑客窃取并标价200万美元出售
知名云托管平台Vercel（拥有Next.js等生态）内部系统遭未授权访问。黑客团伙ShinyHunters声称窃取其内部数据库、API密钥、GitHub令牌等核心数据，并标价200万美元出售，暗示可用于针对其庞大生态的全球供应链攻击。

Kraken遭遇内部人员窃取数据并试图勒索
Kraken交易所披露，两名客服支持人员被犯罪团伙招募，非法访问了约2000个客户账户信息并录制内部面板视频，随后以此对Kraken进行勒索。Kraken表示不会支付赎金。事件揭示内部威胁是中心化平台的重要风险点。

假冒Ledger Live应用上架苹果商店，盗取超950万美元
一款高度仿真的假冒Ledger Live应用通过苹果App Store审核上架，诱导用户输入助记词，导致超过50名受害者损失总计约950万美元的加密货币。事件暴露了官方应用商店的审核漏洞。

CoW Swap前端遭DNS劫持攻击
以太坊知名DEX聚合器CoW Swap其官方域名遭攻击者通过社会工程学手段从注册商处劫持。攻击者部署钓鱼网站，诱导用户连接钱包并签署恶意交易，造成约120万美元损失。其智能合约本身未被入侵。

诈骗、跑路与市场操纵

RAVE代币被指高度控盘与市场操纵，价格暴跌超95%
链上侦探ZachXBT调查发现，RAVE代币约95%的供应量由少数地址控制。在其呼吁交易所调查后，该代币价格在24小时内从26美元暴跌至1美元，导致大量散户爆仓。调查发现团队相关地址在暴跌前于中心化交易所有可疑活动。

特朗普家族关联项目WLFI被指控欺诈与中心化控制
Tron创始人孙宇晨公开指控其重金投资的World Liberty Financial (WLFI) 项目在智能合约中嵌入未公开的“黑名单后门”，可单方面冻结持币者钱包（其自身价值数千万美元的代币已被冻结）。同时，项目方被指利用自身代币抵押借贷，抽干流动性，并进行利益输送。

“生命倒计时”Pumpfun项目方利用同情心跑路
一个在Pumpfun上发币的项目方，以自己“仅剩120小时生命”为故事博取同情，在市值推高后携款跑路并注销账号，上演了一场利用社区善意的“退出流动性”骗局。

基础设施与AI安全

AI模型Mythos展现强大漏洞挖掘能力，引发安全军备竞赛
Anthropic发布的AI模型Mythos被证实能以“机器速度”自动发现并链式利用零日漏洞，甚至找到了一个存在数十年的OpenBSD漏洞。这迫使Coinbase、Binance等交易所竞相获取此类工具用于防御，同时引发了关于AI加剧网络安全威胁的监管担忧。

第三方LLM路由器存在恶意注入风险，可窃取密钥与资产
加州大学研究显示，测试的428个第三方LLM API路由器中，有26个存在恶意行为，包括注入恶意工具调用和窃取凭证。其中一个路由器成功从测试钱包中盗取了50万美元，凸显了AI代理供应链的新攻击面。

2.政策监管

美国SEC释放监管转向信号，强调“合作与创新”
SEC主席在首期官方播客中联合多位委员，明确释放从“执法导向”转向“合作与创新导向”的信号，称美国应成为加密创新的首选地。此举被市场解读为监管态度的重要缓和。

纽约证券交易所提交提案，拟允许代币化证券上市交易
纽交所向SEC提交规则修改提案，旨在允许符合条件的传统证券（如罗素1000成分股及ETF）以代币化形式在同一交易所内交易。这标志着主流金融基础设施向资产代币化迈出关键一步。

美国加密市场结构法案（CLARITY Act）谈判进入最后阶段
据摩根大通报告，困扰美国加密行业的市场结构法案谈判，争议点已从十几个缩减至2-3个核心问题，法案已“非常接近”成型。若通过，将为数字资产提供关键的监管清晰度。

Circle因未冻结Drift Protocol黑客资金遭集体诉讼
稳定币发行商Circle因在Drift Protocol遭受2.8亿美元黑客攻击后，未冻结黑客通过其CCTP桥转移的约2.3亿美元USDC，被投资者提起集体诉讼，指控其协助转移被盗资产及疏忽。此案将界定稳定币发行商在黑客事件中的责任边界。

3.宏观经济

美联储官员表态偏鹰，利率政策或将维持紧缩
美联储官员戴利表示，目前联邦基金利率略显紧缩，可能维持利率不变；若通胀加速则需加息。此番言论抑制了市场对短期降息的乐观预期。

美伊谈判曲折进行，地缘局势持续紧张
美伊双方就停火及核问题展开谈判，美方考虑以解冻200亿美元伊朗资产换取其放弃浓缩铀库存。同时，美国宣布将对伊朗港口实施海上封锁，霍尔木兹海峡局势依然紧张，引发全球能源市场及通胀担忧。

北美上市矿企第一季度抛售比特币创历史记录
2026年第一季度，包括MARA、CleanSpark在内的多家上市矿企合计抛售超3.2万枚BTC，超过其2025年全年抛售量，创下单季度历史最高纪录。抛售主因是算力价格跌至历史低位，部分矿工已陷入亏损。

比特币巨鲸创下2013年以来最大规模增持潮
链上数据显示，持有超1000枚BTC的地址群体在过去30天内增持了约27万枚比特币，创下自2013年以来最大购买潮，显示“聪明钱”在当前位置的积极布局。

4.项目动态

Kraken母公司Payward拟5.5亿美元收购衍生品平台Bitnomial
Payward已同意以最高5.5亿美元现金加股票收购拥有美国全套衍生品牌照的Bitnomial。此举将使Kraken快速获得在美国合规市场提供现货保证金、永续合约及期权的完整能力，加速其机构化布局。

5.公链/基础设施

Cardano创始人批评比特币量子防御提案BIP-361
Charles Hoskinson指出，BIP-361提案实质上更接近硬分叉，且其零知识证明恢复机制无法保护2013年之前生成的约170万枚早期比特币（包括可能属于中本聪的约100万枚），若实施可能导致这些资产被永久冻结。