叛徒 V1 Arbitrum 部署遭受攻擊，損失 209K 美元；白帽駭客歸還 190K 美元

微軟：假冒 macOS 故障排除頁面部署 ClickFix，竊取加密錢包金鑰

微軟 Defender 指出，ClickFix 利用 Medium、Craft 等平台發布假故障排除指南，誘導用戶於 Terminal 執行惡意命令，繞過 Gatekeeper，惡意程式以記憶體中執行方式運作。涉及 Amos、Macsync、SHub Stealer 三大家族，竊取 Exodus、Ledger、Trezor 的錢包金鑰，以及 iCloud、Telegram、Chrome/Firefox 密碼與少量本機檔案，並可能替換合法應用。 Apple 已在 macOS 26.4 加強防護，阻止可疑命令貼入 Terminal。

USDT0 宣布 3/3 驗證機制以及 $6M 程式漏洞獎勵計畫，並在 Kelp 事件之後推出

根據 Foresight News，USDT0（Tether 的資產互通協議）在 Kelp 事件後公布安全架構細節。該協議採用具專有權的去中心化驗證者網路（DVN），並具備訊息否決權，且在跨鏈訊息結算前，需要基於不同程式碼基底的三名獨立驗證者達成 3/3 共識。現有驗證者節點包括 USDT0 的專有 DVN、LayerZero 和 Canary。USDT0 也已在 Immunefi 推出一項價值 600 萬美元的利潤漏洞獎勵計畫，合約經由 Guardian 與 OpenZeppelin 進行稽核。

Microsoft 發現自 2025 年底以來針對 Exodus、Ledger 和 Trezor 錢包的 macOS 釣魚活動

根據 Microsoft 的資安研究團隊表示，從 2025 年底以來，攻擊者一直在包括 Medium、Craft 和 Squarespace 等平台上散布偽造的 macOS 疑難排解指南，以誘使用戶執行惡意的終端機指令。這些指令會下載並執行旨在竊取 Exodus、Ledger 和 Trezor 等加密貨幣錢包金鑰的惡意程式，並同時竊取 iCloud 資料以及 Chrome 和 Firefox 中保存的密碼。 涉及的惡意程式家族包括 AMOS、Macsync 和 SHub Stealer。某些情況下，攻擊者也會刪除合法的錢包應用程式，並用被植入木馬的版本取代。Apple 已在 macOS 26.4 中新增保護機制，用以阻止貼上可能具惡意的指令。

LayerZero 就 Kelp DAO 受損事件發布公開道歉，承認 DVN 單一驗證者故障

根據 LayerZero 的說法，該協議於週五就 4 月 18 日的漏洞處理發布公開道歉。該漏洞從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH，這也標誌著其先前事故復盤文章的語氣出現重大轉變。LayerZero 承認，其去中心化驗證者網路（Decentralized Verifier Network，DVN）不應該成為高價值交易的唯一驗證者，並表示：「我們犯了錯，允許我們的 DVN 作為高價值交易的 1/1 DVN。」公司透露，北韓的 Lazarus Group 在同時啟動針對外部供應商的 DDoS 攻擊之際，已入侵其內部 RPC 節點，導致 DVN 被迫依賴遭毒化的基礎設施。 LayerZero 列出了修復步驟：其 DVN 將不再提供 1/1 設定，在可能的情況下，預設設定正遷移為至少需要五名驗證者；該公司也計畫使用 OneSig 將其多重簽名門檻從 3-of-5 升級為 7-of-10。此次漏洞影響了網路上約 0.14% 的應用程式，以及總資產的 0.36%；自 4 月 19 日以來，已有超過 90 億美元的資金透過該協議完成跨移動。

LayerZero 因 Kelp DAO 被利用事件發布公開道歉，承認單一驗證者設定是錯誤

根據 LayerZero 於週五發布的官方部落格貼文，該協議就其處理 4 月 18 日漏洞事件公開道歉；該事件透過 Kelp DAO 的跨鏈橋導致 rsETH 被掏空，金額達 2.92 億美元。LayerZero 承認其錯誤在於允許其去中心化驗證者網路（Decentralized Verifier Network）作為高價值交易的唯一驗證者，並撤回先前的立場，先前指責是 Kelp DAO 的設定選擇所致。 針對此次事件，LayerZero 表示其將不再提供 1/1 DVN 配置服務，並在可行的情況下，將預設設定遷移為至少需要五名驗證者。此份道歉出現之際，Kelp DAO 與 Solv Protocol 已將其跨鏈基礎設施遷移至 Chainlink 的 CCIP，理由是安全性方面的疑慮。