免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

2026年5月加密货币安全事件报告：41起事故致8420万美元损失

2026-06-01 17:44:53

BNB

BTC

ETH

2026年5月对去中心化金融而言可谓惨痛的一个月。多重签名篡改、跨链桥利用和私钥泄露事件激增，创下历史记录，导致跨越16条区块链的项目损失超过8400万美元，其中以太坊承担的损失最为惨重。

关键趋势：基础设施层攻击成为主流

在总计8420万美元的损失中，仅三种攻击媒介就造成了超过3700万美元的损失：多重签名地址篡改（1518万美元）、跨链桥验证绕过（1213万美元）以及金库轮换地址投毒（1000万美元）。这一集中现象反映出威胁行为者有策略地转向了价值更高、更难修复的系统性漏洞。

一个关键趋势是：5月份总损失的63%来自基础设施层攻击，而非智能合约漏洞，这标志着与之前几个月主要由DeFi协议漏洞主导的情况相比，出现了显著转变。

关键数据

总损失： 84，207，570美元
总事件数： 41
单次事件平均损失： 2，053，843美元
受影响链数： 16
最大单次攻击： 15，180，000美元（Superfortune，多重签名篡改）
受攻击最严重的链： 以太坊（损失6190万美元）

五大损失最严重的攻击事件

Superfortune ($GUA) | 1518万美元 | 以太坊，BSC | 多重签名地址篡改
Verus-以太坊跨链桥 | 1150万美元 | 以太坊 | 跨链桥验证绕过
Thorchain去中心化交易所 | 1000万美元 | 比特币，以太坊 | 金库轮换地址投毒
DxSale | 730万美元 | BNB链 | 所有权覆盖攻击
TrustedVolumes | 670万美元 | 以太坊 | 伪造RFQ订单

重大事件分析

Superfortune ($GUA)，损失1518万美元（5月27日）
本月最大损失源于针对以太坊和BSC上Superfortune协议的多重签名地址篡改攻击。攻击者获得了将多重签名授权重定向到其控制地址的能力，在项目团队能够响应之前耗尽了协议储备金。此类攻击尤为危险，因为它利用的是治理信任，而非代码漏洞。

Verus-以太坊跨链桥，损失1150万美元（5月17日）
跨链桥验证绕过攻击允许攻击者在Verus-以太坊跨链桥上伪造跨链提款证明。该漏洞绕过了签名验证逻辑，使得攻击者能够在以太坊侧未经授权铸造原生资产。这是2026年迄今为止第二大的跨链桥攻击事件。

Thorchain去中心化交易所，损失1000万美元（5月15日）
Thorchain的去中心化交易所遭受了金库轮换地址投毒攻击，影响了其比特币和以太坊金库。攻击者在预定的金库轮换事件期间注入恶意地址，从而重定向了价值1000万美元的转出交易。该漏洞利用了Thorchain轮换机制中的一个时间窗口。

DxSale，损失730万美元（5月28日）
BNB链上DxSale遭遇的所有权覆盖攻击，使得攻击者通过升级机制中的一个逻辑缺陷夺取了合约所有权。一旦所有权被转移，攻击者便耗尽了流动性池并锁定了合法管理员。DxSale的启动板合约在上次升级后未经过审计。

TrustedVolumes，损失670万美元（5月7日）
伪造的报价请求订单使得攻击者耗尽了TrustedVolumes在以太坊上的链上流动性。该漏洞利用了Solidity结算合约对链下签名订单数据验证不足的问题。

按链划分的安全态势分析

将41起已确认事件与其发生的区块链对应起来分析，可以清晰地看到一条脆弱性等级链。有些链损失数亿美元，有些则几乎未受影响。以下是数据的真实反映。

以太坊：迄今为止最大的目标
这并不意外，但其规模仍令人震惊。5月单月，与以太坊相关的协议损失了61，894，900美元，占当月总损失的73.5%。这意味着8400万美元问题中的近四分之三都集中在一条链上。

更令人担忧的是这些损失发生的方式。以太坊并非遭受一次大规模攻击，而是“千刀万剐”。仅Verus-以太坊跨链桥就通过验证绕过损失了1150万美元。TrustedVolumes因伪造RFQ订单损失670万美元。Thorchain的以太坊金库是1000万美元金库轮换投毒攻击的一部分。StablR因私钥泄露损失280万美元。SquidRouter因访问控制失效损失300万美元。New Market Trading因协议逻辑缺陷损失380万美元。

模式很清楚：攻击者之所以瞄准以太坊，并非因为它脆弱，而是因为财富聚集于此。每个主要的DeFi协议、每个重要的流动性池、每个跨链桥都有一个以太坊端点。这使其成为了整个加密世界价值最高的攻击面。如果你在以太坊上构建，5月的数据传达了一个明确的信息：跨链桥集成和访问控制逻辑是你当前最大的软肋。

BSC：攻击者的乐园
币安智能链以15，933，850美元的损失位居第二，但其事件性质与以太坊截然不同。BSC并未遭遇复杂的跨链桥黑客或金库投毒攻击，而是栽在了那些在审计不足环境中滋生的漏洞上。

其中最引人注目的是Superfortune ($GUA)，其因多重签名地址篡改攻击损失1518万美元，是当月最大单次黑客攻击。仅此一次事件就几乎占据了BSC整个月损失的全部。除此之外，SKP因智能合约漏洞损失212，850美元，MAP协议的BSC部署部分因无限铸造和抛售漏洞损失11万美元。

BSC的问题不在于协议复杂性，而在于治理疏忽。Superfortune攻击利用的多重签名设置明显缺乏时间锁、地址变更验证或有意义的签名者控制。此类攻击不需要高级的漏洞利用代码，只需要一个对其自身资金安全不够重视的团队。

比特币：跨链风险的连带伤害
比特币损失10，858，000美元可能令人费解，因为比特币本身并未被攻破。但5月的事件揭示了将比特币封装进DeFi基础设施的危险性。

两起事件导致了这一损失。最主要的是Thorchain DEX，其比特币和以太坊金库因金库轮换地址投毒攻击损失1000万美元。Thorchain的架构涉及原生比特币托管，当其金库轮换机制被操纵时，比特币持有者付出了代价。其次是Bisq，其因假冒Bisq V1客户端黑客攻击损失858，000美元，这是一次直接针对比特币用户的社会工程学攻击。

比特币出现在此名单上，是对任何原生托管BTC的协议发出的警告：你的安全模型仅与你的金库轮换和客户端分发机制一样坚固。比特币本身是安全的，但围绕它构建的基础设施则不然。

BNB链：一次攻击，一笔巨账
在币安生态中，BNB链在技术上区别于BSC，其记录损失8，115，000美元，几乎全部来自单次事件。5月28日，DxSale因所有权覆盖攻击损失730万美元，攻击者利用合约升级机制中的逻辑缺陷夺取了协议合约的完全所有权。Alephium跨链桥也因影响以太坊和BNB链端点的链下漏洞损失了815，000美元。

DxSale的黑客攻击尤其具有警示意义。该协议的启动板合约在上次升级后未经过审计。仅仅这一个操作上的疏忽——跳过了升级后审计——就让用户付出了730万美元的代价。在部署成本低廉且快速的BNB链上，团队常常在未重新审计的情况下就推送升级。5月的事件清晰地展示了这种捷径的代价。

Cosmos：平静链上的灾难性单次损失
Cosmos上的攻击事件不多，但一旦发生，损失惨重。5月，由于Gravity跨链桥在5月30日发生私钥泄露，Cosmos生态系统损失了5，400，000美元。该桥连接以太坊和Cosmos，一旦控制桥接操作的私钥泄露，攻击者便从两边盗取了资金。

Cosmos事件数量少（仅一起）不应被解读为其安全文化良好，而应理解为：协议数量少，目标就少，但现有的协议在密钥管理失误方面与其他链同样脆弱。

Base：新兴链的脆弱性窗口
Coinbase的Base链尚属年轻，记录了两起事件，损失3，175，000美元。SquidRouter因访问控制漏洞在Base和以太坊上损失300万美元。Bankr因会话密钥泄露损失17万美元。Veil Cash因智能合约漏洞损失5000美元，金额较小。

Base的数据反映了一个可预测的现象：新链吸引追求速度的团队，而追求速度的团队容易犯访问控制错误。SquidRouter的漏洞是典型的访问控制失效案例，这种漏洞在彻底审计中本可发现，但在团队急于推出跨链功能时却成了漏网之鱼。

Solana：名人账户，真实问题
Solana在5月发生了一起事件，但影响巨大。Roaring Kitty的X账户被黑，攻击者利用它操纵一个基于Solana的代币，通过发布虚假信号从交易者那里卷走了2，860，000美元。

这并非智能合约漏洞，也不是跨链桥攻击。这是一次社交媒体账户泄露事件，被武器化来针对链上流动性。Solana的DeFi生态系统对此无能为力，因为攻击媒介根本不在链上。此处的教训并非关于Solana的代码质量，而是关于链下影响力如何直接操控链上资金。

TON：跨链复杂性的反噬
TON因单次事件损失2，800，000美元：TAC跨链层在5月13日遭遇智能合约漏洞。随着TON通过跨链层与基于以太坊的DeFi更深度集成，它也继承了困扰EVM链多年的相同智能合约风险。该漏洞并不新奇，它与三年前以太坊协议面临的智能合约漏洞属于同一类别。TON生态系统正在重新经历惨痛的教训。

Monero：一个意想不到的入榜者
Monero出现在此名单上并损失2，700，000美元，情况有些特殊。RetoSwap是一个用C++构建的点对点Monero交易所，它遭受了ACK消息抢先交易攻击。攻击者操纵交易确认消息流以抢在结算之前提取资金。

这一点值得注意，因为Monero的隐私特性常被视为安全优势。但协议层的隐私性无法保护应用层逻辑。RetoSwap的漏洞完全在于其自身的交易结算代码，与Monero底层的隐私性无关。隐私币也无法对应用层攻击免疫。

Arbitrum、Polygon、Tron及其他小型链
Arbitrum记录了六起事件，总损失1，088，420美元，每起金额相对较小，从13，700美元（Fractal Protocol闪电贷攻击）到456，000美元（Aurellion未初始化代理攻击）不等。Arbitrum攻击的模式一致：未初始化的代理、访问控制漏洞和闪电贷操纵。这些都是可通过审计预防的漏洞。Arbitrum单次事件损失较低，表明其较大的协议具备合理的安全态势，但较小的协议显然并非如此。

Polygon在三起事件中损失941，400美元：INK Finance（14万美元）、Huma Finance（10.1万美元）和Polymarket（70万美元）。Polymarket的私钥泄露事件尤为突出，这是一种任何智能合约审计都无法预防的操作性失误。

Tron通过单次事件损失1，880，000美元：Transit Finance因一个已弃用的智能合约漏洞损失资金。该协议有一个遗留合约仍持有用户资金但已停止主动维护，攻击者发现了它。已弃用的合约在被明确终止前，始终是活跃的漏洞。

数据中最清晰的信号

纵观映射到各条链的所有41起事件，一个模式主导了一切：链本身几乎从不重要。以太坊损失6100万美元，不是因为以太坊不安全，而是因为以太坊承载的价值最大。BSC的Superfortune攻击不是BSC的问题，而是治理问题。比特币的损失来自围绕它构建的基础设施，而非比特币本身。

2026年5月真正的安全变量不是链，而是团队：他们的审计纪律、密钥管理实践、治理设计，以及他们关闭不再主动保护的内容时的谨慎程度。

分析与展望

从5月的事件数据中显现出三大清晰趋势，每个协议团队、审计者和投资者在进入2026年下半年时都应予以重视：

跨链桥基础设施准备仍然严重不足。 同月内发生两起跨链桥验证绕过攻击——Adshares（62.8万美元）和Verus-以太坊跨链桥（1150万美元），突显跨链消息验证仍是大规模未解决的难题。行业的跨链桥安全审计流程必须进化，以对待链下验证组件与对待链上合约同样严格。

多重签名管理规范正在恶化。 Superfortune因多重签名地址篡改损失1518万美元的黑客攻击，指向了一种传统审计无法捕捉的治理层攻击。依赖多重签名治理的协议应实施时间锁、链上地址变更提案以及用于签名者密钥管理的硬件安全模块。

私钥安全是操作失误，而非代码失误。 五起涉及私钥泄露或被盗的事件总计造成约1000万美元损失。这一模式表明，随着代码级安全的提升，攻击者正越来越多地通过社会工程学、恶意软件和内部威胁，瞄准管理密钥的人员和基础设施。

DeFi行业的安全投入必须扩展到智能合约审计之外。运营安全、治理架构、跨链桥验证器设计和密钥管理基础设施已成为当前安全战役的前线。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

30.00% 70.00%

利好

利空