一、核心洞察

本周Web3行业遭遇系统性冲击，仅5天内就发生Verus桥（$11.58M）、THORChain（$10.7M）、Echo Protocol（$76M）及Polymarket（$660K）等多起重大事件，累计损失逾1.1亿美元；跨链桥与私钥管理仍是行业最薄弱环节。宏观经济层面，美债收益率飙升至2007年以来新高，美联储纪要转向鹰派，加息讨论浮出水面，风险资产普遍承压，BTC跌破75,000 USDT。监管方面，中国八部门整治非法跨境证券经营，美国众议院启动对预测市场平台内幕交易调查，全球监管框架加速收紧。机构端出现结构性分化——EigenLayer早期投资者大额解锁、Everclear与Syndicate逐步关闭，而美国新版比特币储备法案取消购买目标转向锁定已持资产20年，行业正从扩张叙事转向安全与合规博弈。

---

二、要闻速览

• Polymarket内部钱包私钥泄露被盗约60万美元
• Verus-Ethereum跨链桥遭攻击损失约1158万美元
• Echo Protocol遭7600万美元eBTC非法铸造攻击
• THORChain因GG20签名漏洞被盗1070万美元
• Map Protocol桥遭攻击，黑客铸造1万亿MAPO代币
• 美联储纪要转向鹰派，加息讨论浮现
• 中国证监会等八部门整治非法跨境证券经营
• 美众议院调查Polymarket与Kalshi内幕交易
• 美国新版比特币储备法案拟锁定已持BTC 20年
• BTC跌破75000 USDT，24H跌幅3.15%
• Pyth预言机宕机近4小时，Price Feeds服务受影响
• Anthropic无限期封印最强网攻模型Mythos
• 4月加密资产被盗超3.2亿美元创单月纪录
• Bitcoin Depot申请破产，北美最大加密ATM网络停运

---

三、全域动态

1.安全事件

跨链桥攻击持续高发

Verus-Ethereum桥遭攻击损失约1158万美元
攻击者利用桥接合约在验证跨链导出时的逻辑漏洞，仅花费约10美元手续费即绕过资产总额校验，从储备中直接提取资金。被盗资产包括103.6 tBTC、1,625 ETH及147K USDC，后攻击者将全部资产兑换为约5,402 ETH。事件与2022年Wormhole、Nomad漏洞属同一类型，即验证了Merkle证明却未校验源链资产足额背书。攻击者后续返还约74.7%被盗资金。

THORChain因GG20签名方案漏洞被盗1070万美元
一个恶意节点利用了多方计算（MPC）协议GG20的加密学缺陷，成功重建了一个金库的完整私钥，进而签署跨链未授权提款。该漏洞并非孤立事件，揭示了跨链桥依赖的底层签名方案本身可能存在结构性脆弱性。THORChain提议继续使用打补丁后的GG20框架，遭到安全研究社区的广泛批评。

Map Protocol桥遭攻击，黑客铸造1万亿MAPO代币
Butter Bridge V3.1的OmniServiceProxy合约被攻击者找到漏洞，通过伪造跨链payload数据绕过重试认证逻辑，最终触发未经授权的1万亿MAPO铸造——相当于正常流通量的480万倍。攻击者将约10亿枚假币抛入Uniswap池套现约52.2 ETH，MAPO价格暴跌96%。

Garden Finance跨链桥遭黑客盗取1100万美元
攻击者通过攻陷求解器获取控制权，执行了未经授权的跨链转移操作。事件再次凸显了跨链基础设施中中心化密钥管理与信任模型的系统性风险。

2026年Q1跨链桥攻击累计损失1.68亿美元
仅第一季度就发生34起独立的跨链桥相关攻击事件；进入5月，又有8起事件累计造成3.28亿美元损失。4月整个DeFi领域的单月损失创下6.41亿美元的纪录。

私钥泄露与访问控制风险

Polymarket内部钱包私钥泄露被盗约60万美元
攻击者获取了一个已存在约6年的内部运营充值钱包的私钥，通过自动化脚本每30秒提取5,000 POL，持续约70分钟，累计转出57.32万至66万美元以上。用户资金与核心合约未受影响，但暴露了估值150亿美元的平台在密钥轮换与多签管理上的严重疏忽。被盗资金中约16.4万美元已被冻结。

Kraken用户因密钥泄露损失61.21 BTC（约540万美元）
受害用户从Kraken账户提取4.21 BTC至非托管钱包后，连同其余57 BTC一同被转入攻击者地址。三天前另有Kraken/Coinbase用户疑因实体胁迫攻击损失约670万美元，超530万美元被存入Tornado Cash。

StablR稳定币遭攻击脱锚，获利约280万美元
攻击者疑似获取了铸币多签账户中一名所有者的私钥，利用仅需1/3签名的治理机制替换其他管理员，额外铸造835万枚USDR及450万枚EURR，随后在DEX将价值约1040万美元的代币兑换为约1115枚ETH。EURR一度跌至0.88美元，USDR跌至0.7美元。

Bankr协议因14个钱包被黑暂停交易，损失约17万美元
攻击者通过后端session管理或集成层的漏洞获取了签名能力，代表用户执行未授权转账至14个被攻陷钱包。Bankr承诺全额赔付，国库尚有300万美元。

DeFi协议漏洞

Echo Protocol遭7600万美元攻击，eBTC被非法铸造
攻击者获取Monad上Echo Protocol的管理员密钥，凭空铸造1,000枚eBTC（账面价值约7660万美元）。其中45枚被存入Curvance作为抵押借出约11.29 WBTC，桥接至以太坊兑换约385 ETH并通过Tornado Cash混币。受限于协议流动性不足，实际损失约82万美元，剩余955枚eBTC被销毁。该事件再次暴露单签admin key的集中化风险。

Kinetiq智能合约攻击影响5000钱包
团队检测到智能合约漏洞利用，建议约5000个与之交互过的钱包立即通过revoke.cash撤销所有代币授权，以防止未授权转移和LP仓位被耗尽。

LESS协议初始流动性被利用，WETH种子资金被耗尽
该协议在启动流动性设置阶段遭链上利用，几乎全部初始WETH种子资金被抽走，属于典型的启动阶段安全疏漏。

LendingHookV3漏洞耗尽借款人仓位
攻击者在以太坊主网上通过操纵同交易内的清算定价，将抵押品全部转移出协议。属于协议逻辑层面的失败，而非外部依赖问题。

诈骗、钓鱼与社会工程

FBI发布加密ATM诈骗损失3.88亿美元数据
2025年IC3共收到超1.34万起相关投诉，损失金额同比增长58%。超过一半受害者年龄在50岁以上。同期密苏里州总检察长起诉CoinFlip“助长欺诈”，Bitcoin Depot已申请破产。

4月加密资产被盗超3.2亿美元创纪录
2026年5月中旬之前已有52起协议攻击，累计损失8.35亿美元，其中朝鲜关联黑客占5.77亿美元。私钥泄露仍为最大单类原因，占2024年总被盗量的43.8%。

LinkedIn钓鱼攻击伪装成NEAR基金会HR实施诈骗
攻击者伪造NEAR Protocol人力资源经理身份，通过虚假AI面试平台诱导下载恶意软件，利用品牌信任度高的区块链项目增强可信度。

新型Discord钓鱼及钱包盗取手段活跃
诈骗者冒充Web3媒体记者联系项目团队成员，利用5年以上老号提升可信度；同时Lucifer DaaS等Crypto drainer工具已演变为订阅制，为附属成员提供克隆网站和自动化部署。

---

2.政策监管

美国监管动态

FDIC提议对稳定币发行方实施BSA与制裁合规要求
新规拟要求受其监管的稳定币发行方遵守《银行保密法》下的反洗钱/反恐融资义务、OFAC经济制裁及相关报告要求，建立AML/CFT监督与执法机制。该提案将在《联邦公报》发布后开放60天公众意见征询期。

美国新版战略比特币储备法案取消“100万枚BTC”购买目标
《American Reserve Modernization Act of 2026》拟将美国政府通过刑事和民事没收已持有或未来获得的比特币纳入战略储备，并要求至少锁定20年。锁定期结束后，财长可建议在任意两年内出售最多10%。法案还要求按季度公开储备证明并进行第三方审计。

美众议院调查Polymarket与Kalshi内幕交易
James Comer致函两家CEO要求提交身份验证、地理限制及异常交易监测文件。调查涉及利用国家安全机密在预测市场牟利的账户，包括军人及持有安全许可人员的账户。此前一名美军士兵因利用委内瑞拉情报在Polymarket获利约40万美元被捕。

特朗普签两项金融行政令：严管个人，放开机构
《恢复美国金融体系完整性》严查非美籍人员逃税及账外发薪，银行对非美籍个人KYC风控升级；《将金融技术创新融入监管框架》要求美联储评估允许加密银行及非银数字资产公司直接访问美联储清算账户的政策。

密苏里州总检察长起诉加密ATM运营商CoinFlip
指控其“故意促成欺诈交易并从中获利”，针对老年人和退伍军人群体。要求禁令禁止其在密苏里州运营，并对过去五年每次违规处以1000美元罚款，最高182.6万美元。

美参议员Warren敦促SEC调查特朗普家族加密项目WLF
WLF通过Dolomite协议将约4.4亿美元WLFI代币作为抵押借入7500万美元资产，导致WLFI价格暴跌10%创下历史新低。Warren要求SEC在5月26日前做出官方回应。

美国制裁与锡那罗亚贩毒集团相关的加密洗钱网络
OFAC制裁两个芬太尼贩运相关洗钱网络，其中一个通过美国境内现金收取并将毒品销售所得转换为加密货币转移至墨西哥。

亚洲监管动态

中国证监会等八部门整治非法跨境证券经营
宣布对老虎、富途、长桥立案调查并拟没收全部违法所得，设置2年整治期，禁止存量投资者新增买入及资金转入。老虎、富途盘前股价暴跌逾30%-45%。

柬埔寨警方突袭金边太子广场拘留逾百人
执法部门查获800部手机、百余台电脑，其中82人为中国籍，涉嫌以虚假投资诈骗柬埔寨及其他国家被害人。此前香港高等法院已冻结90亿港元相关资产。

日本金融厅正式将外国信托型稳定币纳入电子结算手段监管框架
修正案6月1日施行，为符合条件的稳定币在日本境内合规流通提供法律依据，同时排除《金融商品交易法》项下有价证券的认定。

新加坡金管局撤销Bsquared支付牌照
原因包括风险管理及利益冲突政策存在缺陷、违反外包管理规定，以及在申请和检查过程中多次提供虚假或误导性信息。在新加坡，牌照撤销属罕见事件。

印尼封禁加密预测平台Polymarket
通信与数字事务部援引禁止线上与线下赌博的严格禁令，表示使用区块链技术或加密资产的“预测市场”仍被归类为网络赌博，违反现行法律。

---

3.宏观经济

通胀与货币政策

美联储纪要转向鹰派：降息讨论淡出，加息风险浮现
4月会议纪要显示“多数与会者强调，如果通胀持续高于2%，进一步收紧政策可能将变得合适”。许多决策者倾向于删除政策声明中的宽松偏向。会议为鲍威尔作为主席的最后一次会议，其继任者沃什将接手一个日益偏鹰的决策团队。

Polymarket预测美国2026年通胀率超4%概率达97%
该数据较此前大幅上升63%，反映市场对通胀持续高企的高度一致预期。

欧洲央行管委雷恩：若形势恶化，可能有必要加息
表示当前正朝着不利情景发展，中长期通胀预期尚未明显偏离，但加息以维护信誉的可能性已进入视野。欧盟委员会同时上调2026年欧元区通胀预测至3.0%（此前1.9%）。

美债收益率飙升至2007年以来新高
30年期美债收益率升至5.197%，10年期突破4.5%的“警戒线”。美元走强叠加能源价格上涨，摩根士丹利警告美股显著回调风险骤增。

市场与地缘政治

BTC跌破75000 USDT，24H跌幅3.15%
比特币从约8万美元区间跌破关键支撑，情绪面受美联储鹰派纪要及伊朗局势升级双重压制。恐慌与贪婪指数滑至28的“恐惧区间”。

Coinbase溢价跌至月度低点，机构抛售加剧
5月21日录得-0.0983%，表明机构投资者比散户更激进地抛售。美国现货比特币ETF连续四个交易日净流出，合计约13亿美元。约60个持有1万枚ETH以上的巨鲸地址过去两个月完全清仓。

中东冲突持续升级冲击风险偏好
伊朗确认收到美方提案但尚未回复，特朗普强硬表态警告“将非常迅速地结束”。白宫附近发生枪击事件，嫌疑人送医后死亡。油价推高通胀预期，布伦特原油升至约111美元。

---

4.项目动态

机构动态

Polychain相关地址解锁赎回1.22亿枚EIGEN
占流通量16.5%，价值约2388万美元，来源于2024年投资分配。目前代币尚未发生转移。作为EigenCloud早期领投机构，该解锁引发市场对后续抛压的关注。

WLFI财库公司AI Financial季度净亏损2.715亿美元
公司总负债39.1万美元，总资产仅32.2万美元，持有73亿枚WLFI代币价值7.034亿美元，自去年12月底下跌三分之一，产生3.483亿美元未实现亏损。持续经营能力受重大质疑。

Pantera支持的跨链协议Everclear逐步关闭
核心UI、协议、基金会和研究实验室均停止运行，剩余资金用于偿还债务并可能进行5万至20万美元代币回购。CLEAR代币下跌超48%。

Syndicate Labs宣布逐步关闭
团队认为Rollup市场已发生根本性转变，EVM Rollup不再是标准。开发公司Syndicate Labs关闭，但独立实体Syndicate Network Collective继续存在，SYND治理短期内不受影响。

公链/基础设施

比特币ATM运营商Bitcoin Depot申请破产
该北美最大加密ATM运营商（超9000台机器）因监管压力加剧和财务状况紧张申请第11章破产。一季度营收同比下降49.2%，净亏损950万美元，此前4月还遭遇370万美元安全漏洞损失。

Pyth预言机宕机近4小时
Pythnet/Hermes应用链网络宕机导致Price Feeds与Sponsored Feeds服务均受影响。已定位根因，验证者协调重启网络。

Anthropic无限期封印最强网攻模型Mythos
Mythos Preview在内部测试中展现极强的漏洞挖掘与网络攻防能力，扫描出超10,000个高危零日漏洞。但公司决定开发出更强安全对齐机制前禁止向市场开放，以防止恶意软件与网络攻击成本急剧下降。