零时科技每月安全事件看点开始了！据多家区块链安全监测平台统计，2026年 5 月加密货币领域安全态势呈现“跨链桥攻击集中爆发，DeFi 协议漏洞持续高发”的鲜明特点，跨链桥成为当月黑客攻击的重灾区。5 月因安全事件造成的总损失约 1.18 亿美元，其中协议黑客攻击与合约漏洞相关的损失约 1.15 亿美元，钓鱼诈骗及 Rug Pull 相关损失约 300 万美元。

协议黑客攻击共发生 16 起，其中跨链桥攻击多达 8 起。据统计，2026 年以来跨链桥相关重大攻击累计损失已达 3.286 亿美元。前四个月加密黑客损失合计 6.51 亿美元，高达 76 %与朝鲜 Lazarus 集团相关。国家级黑客从“一锤子买卖”升级为长期渗透的复合式攻击，对行业构成持续威胁。

黑客攻击方面

典型安全事件6起

• Gravity Bridge 签名密钥泄露攻击

时间：5 月 30 日

损失金额：约 540 万美元

事件详情：连接以太坊与 Cosmos 生态的跨链桥 Gravity Bridge 因签名密钥疑似遭入侵损失约 540 万美元，验证者于当日暂停了该跨链协议。攻击者通过社会工程学手段获取了跨链桥的签名密钥，利用该权限直接从以太坊端金库中提取了约 430 万 USDC、274 枚 WETH 等资产，随后通过 ChangeNow 等平台快速洗钱。验证者于当日紧急暂停了跨链协议。这是 2026 年第八起重大跨链桥攻击，至此八起事件累计损失已达 3.286 亿美元。

• THORChain Asgard 金库攻击

时间：5 月 15 日

损失金额：约 1070 万美元

事件详情：去中心化跨链 DEX THORChain 的六个 Asgard 金库中有一个被攻破，攻击者盗走约 36 枚 BTC 及其他代币，总价值约 1070 万美元，攻击跨越 BNB Chain、以太坊、Solana 等多条区块链。平台自动检测到异常后立即暂停签名活动，但损失已造成。

• Verus-以太坊跨链桥验证绕过攻击

时间：5 月 12 日

损失金额：约 1158 万美元

事件详情：攻击者通过单笔交易利用验证绕过漏洞，从 Verus-以太坊跨链桥盗走约 1158 万美元资产。该跨链桥曾宣称能抵御此类漏洞，但攻击者仍成功突破，资金随后被追溯至 Tornado Cash 混币。

• DxSale 隐藏后门攻击

时间：5 月 12 日

损失金额：超 730 万美元

事件详情：攻击者利用 DxSale 在 BNB Chain 上的遗留流动性锁定合约中的隐藏后门，盗取约 730 万美元，影响约 1400 个流动性提供者。漏洞与一个特权的“setFee”函数结合回溯日期锁定配置，且初始资金源自 Bybit，安全公司指出可能涉及内鬼。

• Wasabi Protocol 基础设施配置漏洞

时间：5 月 10 日

损失金额：约 570 万美元

事件详情：攻击者利用 Wasabi Protocol 的 AWS 基础设施中 Spring Boot Actuator 配置漏洞，窃取控制 EVM 智能合约的私钥，从相关合约中盗取约 480 万美元用户资金及 90 万美元协议金库资金。攻击链始于一台公网分析服务器的 heap dump 未受密码保护，导致凭证泄露。

• StablR 多签私钥泄露攻击

时间：5 月 24 日

损失金额：约 280 万美元

事件详情：稳定币发行商 StablR 的铸币多签账户中某一所有者私钥泄露（该账户仅需 1/3 签名即可操作）。攻击者将自己添加为所有者并替换其他签名人，随后铸造 835 万枚 USDR 和 450 万枚 EURR，由于链上流动性不足，实际套现约 280 万美元，导致两种稳定币双双脱锚。

Rug Pull / 钓鱼诈骗

典型安全事件4起

(1) 假冒 TronLink Chrome 扩展钓鱼攻击

损失金额：暂未披露

事件性质：5 月 11 日，攻击者伪造假冒 TronLink 的 Chrome 扩展，利用 Unicode 与西里尔字母同形文字伪装品牌名。扩展安装后仅加载远程钓鱼页面，窃取助记词、私钥、密钥文件及密码，并通过 Telegram 机器人实时外传。扩展内置反分析及地理重定向功能以规避检测。

(2) 韩国首例 DEX Rug Pull 刑事起诉 - CATFI 案

损失金额：约 65 万美元（ 256 名投资者确认受损）

事件性质：5 月 27 日，韩国检方对 Solana 迷因币 CATFI 的 Rug Pull 提起公诉，系该国首次对 DEX 骗局进行刑事起诉，适用《虚拟资产用户保护法》欺诈罪名。主谋以“EtherFather”化名伪装独立推荐人，通过多钱包分散持仓卷款跑路，标志 DEX 不再处于司法真空地带。

(3) 假冒 Uniswap Google 广告钓鱼攻击

损失金额：超 40 万美元

事件性质：5 月 26 日，攻击者通过 Google 广告投放仿冒 Uniswap 官网的钓鱼网站，诱导用户连接钱包并签署恶意授权，从而转移资产。至少造成 40 万美元损失，暴露搜索引擎广告成为钓鱼攻击重要入口。

(4) 冒充 Jupiter 空投钓鱼骗局

损失金额：暂未披露

事件性质：5 月 22 日，黑客冒充Jupiter Exchange，向Solana用户宣称可领取假空投“CJUP”代币，诱导用户连接钱包到恶意网站并签署交易，直接清空钱包内资产。安全机构发出严重警告，呼吁用户切勿连接可疑网站。

总结

2026 年 5 月区块链安全事件核心特征：跨链桥持续失守，私钥泄露成主要突破口，国家级威胁常态化。

本月总损失约 1.18 亿美元，较 4 月历史高点显著回落。但跨链桥攻击发生8起，年内累计损失已达 3.286 亿美元，验证机制的系统性弱点仍未解决。攻击手法上，签名密钥泄露、配置漏洞、隐藏后门等“非代码层面”手段成为主流。朝鲜 Lazarus 集团前四月占比高达 76%，国家级复合攻击已成头号威胁。

值得关注的是，韩国首次对 DEX Rug Pull 提起刑事公诉，为全球加密监管提供重要参考。跨链桥的信任集中、验证单点等弱点正在被持续“提款”，每一次攻击都在警示：安全，不只是审计一次就够了。

零时科技安全团队建议：

• 个人：远离高回报迷因币，警惕空投钓鱼链接，不随意签署授权，定期清理钱包授权。

• 项目方：摒弃单点信任，采用多签+时间锁，设置合理阈值（如2/3），排查非代码环节漏洞，持续监控而非一次性审计。

• 行业：推进多 DVN、多 RPC 等去中心化验证标准，加强 APT 威胁情报共享，关注加密司法动态。