一、核心洞察

本周Web3行业呈现“内外交困”的复杂局面。外部宏观环境方面，地缘政治冲突（美伊对抗、霍尔木兹海峡封锁）与美国通胀超预期（CPI 3.8%, PPI 6%）形成共振，推高美联储加息预期，导致全球风险资产（含加密货币）普遍承压，多单爆仓金额创阶段新高。行业内部安全形势急剧恶化，呈现出攻击向量“社会化”与“AI化”的显著特征：一方面，针对实体个人的“扳手攻击”及社工渗透频发；另一方面，AI驱动的零日漏洞发现与自动攻击链条首次在野被证实，彻底改变了攻防不对称性。在监管层面，美国CLARITY法案通过委员会审议标志着立法进程的“破冰”，但两党深层分歧与地缘政治条款的介入，预示着加密立法仍是漫长博弈。值得注意的是，DeFi协议在遭遇密集攻击后，正从单纯的“代码安全”被迫转向涵盖治理、私钥管理及预言机抗操纵的“系统级韧性”建设。

---

二、要闻速览

• Cream Finance遭闪电贷攻击损失1.3亿美元。
• THORChain因TSS漏洞暂停网络，资金被盗。
• 谷歌证实发现首个AI编写的零日漏洞PROMPTSPY。
• 18岁黑客炫富牵出1900万美元加密盗窃案。
• 美国参议院银行委员会通过CLARITY法案。
• 缅甸拟对胁迫参与加密诈骗者引入死刑。
• 美国4月CPI年率3.8%，PPI年率6%，均超预期。
• 利率期货显示美联储明年1月加息概率超50%。
• 霍尔木兹海峡封锁加剧，全球石油库存创纪录下降。
• MARA Q1净亏损13亿美元，低价出售比特币偿债。
• 黄立成ETH多单再遭清算，累计亏损近3200万美元。
• WLFI团队向解锁合约转入5557万美元代币。
• Cerebras Systems登陆MSX，首日股价飙升100%。
• Ledger用户遭实体邮寄量子安全升级骗局。
• 远古巨鲸清仓15,600枚BTC，价值12.5亿美元。

---

三、全域动态

1.安全事件

DeFi协议攻击与资金损失

Cream Finance 遭闪电贷攻击损失1.3亿美元
黑客利用协议逻辑中的闪电贷漏洞，在数分钟内盗走1.3亿美元资产。讽刺的是，攻击发生前三天，创始人曾在社交平台宣称Cream Finance提供“银行级安全”。
THORChain 因TSS密钥管理漏洞遭攻击，网络被迫暂停
恶意节点操作者利用GG20 TSS实现中的漏洞，重建金库私钥并执行未授权出金交易。网络功能全面停摆，团队正讨论通过罚没保证金等方式进行补救。
Truebit protocol 旧合约数学溢出漏洞被利用，损失2644万美元
攻击者利用旧版购买合约中的数学溢出漏洞，以零成本购入TRU代币后抛售，导致代币价格暴跌99.9%。事件再次暴露了老旧且未经重新审计合约的潜在风险。
Fluid与Resolv就2100万美元坏账达成解决方案
Resolv Labs遭非法铸造约8000万美元无抵押USR，导致DeFi协议Fluid产生约2100万美元坏账。双方协商决定由Resolv和Fluid治理财库及团队共同承担损失。
Drift Protocol 因治理配置错误损失2.85亿美元
Solana上的Drift协议因三方治理层配置错误，损失超2.85亿美元，根源并非智能合约代码缺陷，而是审计范围外的治理流程问题。

新型攻击向量与AI武器化

谷歌威胁情报小组确认首个AI生成的零日漏洞（PROMPTSPY）
犯罪集团利用AI模型发现并武器化了双因素认证（2FA）协议中的一个逻辑漏洞，可绕过标准认证机制。谷歌已证实此举标志着AI正式成为规模化漏洞挖掘与攻击的工具。
GoPlus发现AI代理“记忆污染”攻击
攻击者通过注入恶意记忆，诱导AI代理记住“退款优先”等偏好，再通过模糊指令触发未授权资金操作。此类攻击不依赖传统漏洞，而是利用AI的长期记忆信任机制进行欺诈。
免费NFT通过摩斯密码注入，从AI钱包盗走17.4万美元
攻击者向AI代理控制的加密钱包发送携带摩斯密码的NFT，AI解码后执行了恶意转账指令。事件暴露了具备资产执行权限的AI代理在面对提示注入攻击时的脆弱性。
OpenAI遭TanStack供应链攻击，两款代码签名证书被迫轮换
攻击通过供应链投毒感染开发工具TanStack，进而入侵OpenAI内部系统，导致两名员工设备被感染，部分数据泄露，迫使OpenAI紧急轮换代码签名证书。

社会工程、钓鱼与欺诈

ZachXBT指认18岁黑客涉1900万美元加密盗窃案
链上侦探通过分析黑客在Discord的炫富展示，追踪并公开指认18岁的Dritan Kapllani Jr涉嫌参与总金额达1900万美元的社会工程盗窃活动，并与185枚比特币（约1300万美元）的盗窃案有关。
Ledger用户遭冒名“量子安全升级”实体邮件钓鱼
诈骗者向Ledger硬件钱包用户寄送带有Ledger品牌标识的实体信件，谎称要求进行“量子安全升级”，诱导用户扫描二维码进入钓鱼网站，以窃取24词助记词。
假冒Coinbase.com盗取超2000万美元，主犯被判五年
一名印度裔男子通过创建高仿Coinbase域名“CoinbasePro.com”并操纵搜索引擎排名，诱骗用户输入凭证和二步验证码，盗取超过2000万美元资产，后在美国被捕并被判处监禁。
利用Obsidian笔记插件传播病毒PHANTOMPULSE
黑客在社交平台伪装成投资人，诱导Web3用户协作共享恶意Obsidian笔记库，通过启用恶意插件使病毒静默植入，进而窃取密码、钱包助记词等敏感信息。

交易所与平台安全

BitMart被大量用户指控恶意不出金、冻结资产
多则社媒信息集中曝光BitMart交易所存在系统性地拒绝用户出金、非法扣押资产的行为，引发社区广泛警惕。
Bybit遭朝鲜黑客组织攻击，损失14亿美元ETH
回顾2025年2月，Bybit交易所热钱包遭朝鲜Lazarus组织的高级社工与漏洞利用攻击，被盗约14.6亿美元ETH，为加密史上最大规模的盗窃案件之一。
韩国Upbit被曝疑似内幕交易，上线币种遭精准狙击
交易员通过链上数据分析指控，Upbit旗下疑似关联钱包在平台公告上线WIF和VVV代币前数小时精准买入，并在上线后高点卖出，手法高度雷同，涉嫌内幕交易。

---

2.政策监管

监管动态

CLARITY法案获参议院委员会通过，踏入全院表决关键一步
旨在为数字资产提供市场结构监管框架的《CLARITY法案》以15比9的跨党派投票结果通过参议院银行委员会审议。尽管共和党与民主党在道德条款、非托管软件开发者保护（BRCA）等方面仍存重大分歧，此次通过被视为一个重要的进展。
美参议员Warren敦促SEC调查特朗普家族加密项目WLF
参议员Elizabeth Warren正式致函SEC，要求调查特朗普家族旗下的World Liberty Financial项目是否涉嫌通过复杂的抵押借贷操作误导投资者，引发代币暴跌。

缅甸拟对暴力胁迫参与加密诈骗者引入死刑
缅甸军政府起草的《反网络诈骗法案》提出，对使用暴力、酷刑等手段胁迫受害者参与加密诈骗中心的犯罪分子判处死刑，运营诈骗中心或实施加密诈骗者将面临终身监禁。
波兰议会通过加密监管法案，以落实欧盟MiCA法案
波兰议会通过了加密货币监管法案，以遵循欧盟《加密资产市场监管法案》（MiCA）。立法背景之一是该国加密交易所Zondacrypto涉嫌大规模诈骗，致数千名用户损失近1亿美元。
公安部刑侦局警告针对未成年人的虚拟货币洗钱诈骗
披露了以“游戏引流+冒充公检法+虚拟货币洗钱”为特征的新型网络诈骗链条，赃款通过购买虚拟货币实现跨境“物理隔绝”回流境外，提醒公众注意防范。
美国司法部、FBI国际执法逮捕276名加密诈骗犯
针对国际加密诈骗中心的一次联合执法行动已逮捕276名相关人员，显示了全球范围内对跨国有组织加密犯罪的打击力度正在加强。

---

3.宏观经济

地缘政治与大宗商品

伊朗战争持续，全球石油库存以创纪录速度下降
国际能源署（IEA）数据显示，受伊朗战争引发的供应中断影响，2026年全球石油供应量预计减少约390万桶/日，中东石油供应损失已超10亿桶。全球石油库存正以每天近400万桶的创纪录速度下降，IEA警告油价或进一步飙升。
美伊对抗升级，军事选项重提与霍尔木兹海峡危机
美国总统特朗普对伊朗在停火谈判中的回应表示不满，召集高层国家安全团队讨论对伊朗重启大规模军事行动的可能性。同时，伊朗官方宣称已提交管理霍尔木兹海峡的方案，海峡封锁状态的解除仍遥不可及。

通胀预期与货币政策

美国4月CPI和PPI数据双双超预期，打压降息预期
美国4月CPI年率录得3.8%，核心服务价格涨势顽固；PPI年率录得6%，创逾三年新高。能源成本是推动PPI飙升的主要因素。美联储“传声筒”评论称，数据打击了“关税通胀仅是暂时”的乐观看法。
美国利率期货显示市场预计美联储明年1月加息概率超50%
在顽固通胀及地缘政治推高能源成本的双重压力下，市场对美联储的货币政策路径预期发生剧烈转变，开始为明年年初的加息进行风险定价。
亚洲市场股债汇齐跌，韩股重挫7%触发熔断
受油价飙升、通胀担忧及美伊局势不确定性影响，韩国KOSPI指数单日暴跌超7%，触发市场熔断机制。日经225指数同步走低，美国国债收益率则攀升至数月高点。

加密市场联动

过去24小时全网合约爆仓4.31亿美元，多单遭血洗
在宏观利空与市场恐慌情绪影响下，加密货币市场多头遭受重创，BTC与ETH合约爆仓金额居前，市场杠杆清理剧烈。
远古巨鲸清仓15,600枚BTC，价值12.5亿美元
一个自中本聪时代起沉寂了15年的远古地址被激活，并将所持有的全部15,600枚比特币一次性转出，引发市场对潜在抛压和深层利空的猜测。

4.项目动态

机构与上市公司

MARA Q1净亏损13亿美元，低价出售比特币偿债
比特币矿企巨头MARA公布第一季度财报，因持有的大量比特币公允价值下跌，导致净亏损扩大至13亿美元。为偿还债务和补充流动性，公司在Q1期间出售了约11亿美元的比特币。
AI芯片独角兽Cerebras Systems上市首日股价飙升100%
AI芯片公司Cerebras以550亿美元估值登陆纳斯达克，发行价185美元，首日最高冲至386.34美元，并在RWA交易平台MSX上进行美股代币化交易，为链上RWA投资提供了成功退出案例。
Bitcoin Depot对持续经营能力发出“重大疑问”
加密货币ATM公司Bitcoin Depot在提交给SEC的文件中表示，由于持续的诉讼、不利的监管环境导致收入大幅下降，公司能否继续经营存在“重大疑问”。

DeFi与生态

WLFI团队关联地址向解锁合约转入5557万美元代币
与特朗普家族关联的WLFI项目方地址，在短时间内分批将约5,557万美元的WLFI代币转入解锁合约。该地址累计持有的WLFI总价值已达11.9亿美元，其用途与代币解锁提案相关。
Backpack项目被指已“凉透”，社区弥漫跑路担忧
社区用户指责该项目活跃度极低，疑似资金被盗，并面临项目方“硬跑路”的风险，项目负责人成为众矢之的。
韩国关停的加密服务商仅有0.3%的用户资产被返还
韩国金融监督院数据显示，已有15家虚拟资产服务商停止营业，涉及约195万名用户的1510万美元资产被滞留，但实际通过基金会返还的比例仅0.3%，法律保护缺失问题暴露。