冷錢包當心！Trezor、Ledger 用戶接連收到含釣魚 QR Code 的實體信件

加密「拇指鉗」攻擊在 2026 年飆升 41%，$101M 在前四個月中損失：CertiK

根據 CertiK，2026 年前四個月，加密貨幣持有者因「槍械攻擊」損失約 1.01 億美元，全球共發生 34 起已驗證事件，比 2025 年同期間增加 41%。若趨勢持續，該公司估計全年損失將達數億美元。值得注意的是，82% 的攻擊發生在歐洲，法國錄得 24 起事件。「槍械攻擊」（針對加密貨幣持有者的實體攻擊與勒索）已成為一種既有的威脅手法。出現顯著轉變：2026 年逾一半事件鎖定主要受害者的家人，既可能是直接目標，也可能作為施壓槓桿。攻擊者愈來愈採用以數據為基礎的鎖定方式，購買受害者資訊來自線上掮客，而非僅仰賴實體監視。

LayerZero 就 Kelp DAO 漏洞事件發布公開道歉，承認單一驗證器設定存在問題

根據 The Block 報導，LayerZero 於週五就其處理 4 月 18 日的漏洞事件發布公開道歉；該事件從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH。該協議承認，它允許其去中心化驗證者網路（Decentralized Verifier Network）作為高價值交易的唯一驗證者，這是其犯下的錯誤；並推翻了先前將責任歸咎於 Kelp DAO 配置選擇的立場。LayerZero 表示，此次漏洞影響了網路上約 0.14% 的應用程式，以及使用該協議的總資產的 0.36%。事件已促使大型協議進行遷移；此後 Kelp DAO 與 Solv Protocol 已將其跨鏈基礎設施遷移至 Chainlink 的 CCIP，理由是存在安全性疑慮。

加密「扳手」攻擊在 2026 年飆升 41%，鎖定家族成員

加密資安公司 CertiK 估計，2026 年前四個月期間，加密貨幣持有者因「撬鎖攻擊」（wrench attacks）損失約 1.01 億美元，這代表與 2025 年同期相比，已驗證的事件增加了 41%。如果以此速率延續，2026 年全年損失可能達到數億美元。 撬鎖攻擊——一種網路資安術語，指能藉由突破軟體安全系統的實體攻擊與勒索企圖——已成為「加密貨幣持有者的既有威脅途徑」，CertiK 表示。該公司在 2026 年初已驗證 34 起全球事件；而 2025 年全年則報告了約 70 起實體攻擊。儘管如此，由於此類攻擊的性質，許多案件可能未被通報。 地理分布與歐洲集中 值得注意的是，34 起事件中有 28 起（82%）發生在歐洲，顯著的地理格局出現轉變。法國仍是核心樞紐，僅在 2025 年就記錄了 24 起襲擊，遠遠領先「逐國家拆分的結果」，CertiK 指出。這與 2024 年期間全年的 20 起襲擊相比形成對照。相較之下，美國在 2025 年第一季的通報威脅降至 3 起（2025 年為 9 起），而亞洲則降至 2 起（2025 年為 25 起）。 CertiK 指出，推動法國高度集

CISA 公布 Linux「複製失敗」漏洞；10 行程式碼可使取得最高權限（root）提權

根據 BlockBeats 的說法，5 月 9 日，Linux 核心的「Copy Fail」漏洞已被加入到美國網路安全與基礎設施安全局（CISA）的「已知遭利用漏洞」（KEV）目錄。該漏洞自 2017 年以來影響多數主要的 Linux 發行版，並允許具備一般使用者權限的攻擊者透過約 10 行 Python 代碼升級取得 root（最高）權限。 由於許多加密貨幣基礎設施元件依賴 Linux——包含交易所、驗證器節點、挖礦礦池、託管式錢包以及雲端交易系統——因此該漏洞對加密產業帶來潛在風險。若遭到利用，攻擊者可能竊取私鑰、破壞驗證器節點、取得管理員存取權限，或對受影響的伺服器發動勒索軟體攻擊。

Chrome 於 5 月 9 日自動下載多吉字節 Gemini Nano AI 模型，引發加密社群的資安疑慮

根據 BlockBeats 指出，5 月 9 日 Chrome 在未獲使用者明確同意的情況下，會自動將一個多個數 GB 的 AI 模型檔案（Gemini Nano）下載到使用者裝置，用於本地端詐欺偵測、網頁摘要以及 AI 功能。 儘管 Google 表示，本地端執行 AI 能提升隱私與安全性，但加密貨幣使用者對缺乏透明度以及未獲明確授權提出疑慮。隨著瀏覽器日益成為加密貨幣錢包、鏈上交易與 DApps 的核心入口，這一舉措也加劇了產業對攻擊面擴大的擔憂，其中包括惡意擴充功能、偽造的交易頁面以及錢包遭劫持的風險。