ChainCatcher 消息，慢雾创始人余弦在社交平台表示，用系统自带输入法是一种减少攻击面的好习惯（当然，如果系统输入法被发现有风险而迟迟不解决，那也得注意）。另外，助记词/私钥这种超敏感信息就不应该触网。 此前报道，神鱼在社交平台表示，多达十亿用户的云输入法可能已泄露输入内容。如果用户通过百度、荣耀、华为等输入法输入过助记词或其他敏感信息，请立即采取措施降低风险。

ChainCatcher 消息，Solana 生态 DePIN 协议 Io.net 首席安全官 Husky.io 今早发布了 io.net 元数据 API 攻击事件的更新，这要求所有节点重启并更新到最新的客户端。这与奖励计划快照时间相冲突，为应对此事件，Ignition Rewards 第二季已于 5 月启动，以鼓励供应方参与。正在与供应商直接合作，进行升级、重启和重新连接到网络。修复了安全问题并重新启用了自助集群，现在正在努力开发自助大型集群。正在更新浏览器，以更清晰地显示最近连接但未经验证的设备、经过工作量证明验证的设备以及既经过验证又正在发送活跃 heartbeat 的设备。

ChainCatcher 消息，Celsius 在社交平台表示，已就 Celsius 索赔代理 Stretto 报告的数据安全事件向法院发出了通知。根据法庭文件显示，2024 年 4 月 17 日，Stretto 发现，在遭受钓鱼攻击后，Stretto 持有的某些 Celsius 债权人数据被未授权用户访问。Stretto 在同一天终止了对受影响账户的所有未授权访问。Stretto 已经聘请了一家独立的计算机取证公司来开展调查，以确定此次数据安全事件的严重程度。调查仍在进行中，但截至目前，Stretto 已确定被访问的信息包括债权人姓名、电子邮件地址、邮寄地址和索赔金额。 Celsius 债务人就此次数据安全事件所发布的声明称：“鉴于 Stretto 在本计划下的分配过程中所扮演的角色，出于谨慎考虑，生效后债务人已根据本计划暂时停止向债权人分配。我们希望在下周确认主要调查结果，以便在安全可靠的情况下立即恢复该计划下的分发工作。”

ChainCatcher 消息，近期有攻击者利用 WordPress 插件漏洞攻击正常的站点，然后在站点中注入恶意的 js 代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行 Web3 钱包签名，从而盗取用户的资产。 建议有使用 WordPress 插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及 Web3 签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

ChainCatcher 消息，Jupiter 宣布，即日起在其 Swap 功能中上线基于 Jito Bundles 的小费（Tipping）功能，以帮助用户最大限度避免 MEV 攻击带来的损失。 用户只需在进行兑换前选择 Jupiter 界面中的“Jito Tip”选项，交易就会直接发送给 Jito 验证者，并支付小费，请求直接在 Solana 上发布，而不经过公共 RPC。这使得在交易上链 Solana 之前，交易能够对寻求 MEV 机会的搜索者保持隐蔽，从而最大限度降低被 MEV 攻击的可能性。

ChainCatcher 消息，跨链借贷协议 Pike Finance 官方在社交媒体上发文表示，Pike Beta 测试版上的 USDC 矿池于北京时间 4 月 26 日 8:13 被黑客攻击，被盗 299,127 枚 USDC。 据悉，本次事件的根本原因是伪造的 CCTP 消息导致以太坊、Arbitrum 和 Optimism 链上的 USDC 被耗尽，Base 链上的 USDC 及其他资产不受影响，目前团队已暂时停止了协议功能，正在与两个审计合作伙伴合作解决该漏洞，并提出一项确保所有受影响用户很快恢复的计划。

ChainCatcher 消息，萨尔瓦多官方加密货币钱包 Chivo Wallet 否认了有关其软件源代码和与 KYC 程序相关的 500 多万用户数据遭到黑客攻击的报道。该钱包的管理部门澄清道，其数据安全性没有受到损害，泄露数据并非来自他们的系统。

ChainCatcher 消息，据社群反馈，Merlin Chain 官方 Discord 疑似遭遇攻击，某管理账户发布带有钓鱼链接的通知内容，该服务器的邀请目前处于暂停状态。

ChainCatcher 消息，Jupiter 在社交平台宣布，通过手动审核 10,000 个申诉，已成功为钱包被攻击的社区成员重新分配了 1,000 多次空投。 据悉，去年七月一些社区成员的钱包被黑，因此错过了空投，因此 Jupiter 在过去的几个月里将 400 万枚 JUP 进行了重新分配。

ChainCatcher 消息，据 Cyvers Alerts 监测，系统检测到多笔可疑交易，涉及 YIEDL 项目。根本原因似乎是兑换功能中的漏洞。攻击者从多笔交易中获利约 15.7 万美元，资金来源为 ChangeNOW。此外，系统已标记出针对 YIEDL 的恶意合约的部署。

ChainCatcher 消息，据 PeckShield 监测，YIEDL（AI 驱动的 Vaults 项目）遭到攻击，损失约 16 万美元。

ChainCatcher 消息，据 Cointelegraph 报道，Binance Labs 支持得 DeFi 资产管理协议 Velvet Capital 被迫暂时关闭其网站，以防止大规模的网络钓鱼攻击。X 社区成员在 4 月 23 日报告称，Velvet Capital 的交易平台出现了异常活动。用户尝试连接到前端时，被提示要批准钱包对该协议的访问权限。经过内部调查，Velvet Capital 发布了一项网络安全警报，建议投资者在收到进一步通知之前，拒绝该应用程序的所有钱包连接请求。可能批准了欺诈请求的投资者需要撤销对协议的钱包访问权限，以避免资金损失。此外，Velvet Capital 禁用了该应用程序，以最大程度地减少投资者进一步损失的可能性。 Velvet Capital 的创始人 Vasily Nikonov 在 Telegram 上宣布了网站关闭的消息：“请注意，不要与 Velvet 网站互动，我们正在关闭网站进行维护和调查问题，问题解决后将发布事后分析报告。”网站关闭后近两个小时，Nikonov 表示他正在与技术团队和安全研究人员合作，从黑客手中夺回对网站的控制权。 区块链调查公司 Blockaid 和 Scam Sniffer 在 Velvet Capital 官方宣布遭入侵之前已经确认了网站被黑客攻击。自 4 月 23 日上午 5 点 39 分（UTC）以来，在 Velvet Capital 上确认过任何交易的用户可能已成为网络犯罪的受害者。Nikonov 建议这些用户在 Discord 上提交问题，并与 Velvet Capital 团队分享交易详情以便进行补救。Nikonov 强调，截至上午 6 点 50 分（UTC），没有用户报告损失。

ChainCatcher 消息，据 Cyvers Alerts 监测，链上代币基础设施协议 Hedgey 在 Arbitrum 上遭遇与此前相同的漏洞攻击并损失约 4280 万美元。 此前消息，链上代币基础设施协议 Hedgey 漏洞今日在以太坊链上遭到攻击，被盗约 190 万美元。

ChainCatcher 消息，据 CoinDesk 报道，纽约曼哈顿陪审团裁定 Mango Markets 攻击者 Avi Eisenberg 犯有欺诈和市场操纵罪，他于 2022 年 10 月从 Mango Markets 盗窃了 1.1 亿美元。纽约地方法院法官 Arun Subramanian 将于 7 月 29 日对他判刑。Eisenberg 于 2022 年 12 月在波多黎各被捕，并被指控商品欺诈、商品操纵和电汇欺诈罪。如果三项罪名全部成立，他将面临最高 20 年的监禁。

ChainCatcher 消息，据派盾监测，0x28DB...50e7 地址遭受网络钓鱼攻击，造成价值 177.4 万美元的加密货币损失，其中包括 30,846 枚 TRUMP（约合 154,000 美元）。

ChainCatcher 消息，据彭博社报道，纽约 12 名联邦陪审员将对 Mango Markets 攻击者 Avi Eisenberg 是否操纵市场做出裁决。 据悉，周三，陪审团听取了美国政府针对 Eisenberg 案件的结案陈词，Eisenberg 于 2022 年 12 月在波多黎各被捕，并被指控与 Mango Markets 有关的商品欺诈、商品操纵和电汇欺诈罪。如果三项罪名全部成立，他将面临最高 20 年的监禁。检察官周三结束了 Eisenberg 的审判，称他在 2022 年 10 月 11 日通过 MNGO 代币的虚假交易来操纵期货合约，传统的刑法适用于 Eisenberg。 但 Eisenberg 辩护律师表示，其“采用了一种成功且合法的交易策略，在这种策略中，他将自己的资金置于风险之中。他完全遵守了 Mango Markets 的智能合约”。陪审团周三没有作出最终裁决。他们将于周四重新考虑对 Eisenberg 的三项指控。

ChainCatcher 消息，链上侦探 ZachXBT 发布关于涉嫌 1110 万美元的 Prisma 漏洞利用者 0x77（Trung）及其所牵涉的多个漏洞的调查。2024 年 3 月 28 日，Prisma 团队观察到 MigrateTroveZap 合约上的一系列交易，导致损失了 3257 枚 ETH（约 1110 万美元）。 起初，攻击者与 Prisma 部署者沟通，声称这是一次白帽攻击。然而，在同一天晚些时候，所有资金都被转入 Tornado Cash，这与之前的声明相矛盾。漏洞利用者开始提出过分的要求，并要求获得 380 万美元（34%）的白帽赏金。这一金额远高于行业标准的 10%，实质上是在敲诈团队，因为金库没有足够的资产来赔偿用户。 通过链上追踪，PrismaFi 漏洞利用者 0x77 曾涉嫌 2023 年 3 月的 Arcade 漏洞利用事件、2024 年 2 月起 Pine 协议上漏洞事件，此外，漏洞利用者的地址连接到 Modulus Protocol 的部署者地址。0x77 是该项目的少数追随者之一，加强了每个事件之间的联系。进一步分析了这名涉嫌诈骗者的电话号码、电子邮件和其他详细信息。从他们在 X 上的帖子可以看出，他们具有强大的技术背景。目前，所有个人详细信息已整理完毕，Prisma 团队正在越南和澳大利亚追究所有可能的法律途径。ZachXBT 敦促这名诈骗者尽快归还资金，以免事态进一步恶化，为所有人节省时间。

ChainCatcher 消息，Merlin Chain 生态 DeFi 项目 Mineral 在 X 平台发文称，项目部署的流动性 LP 池遭受了未经授权的访问，官方添加的流动性被全部撤销。Mineral 已经启动了紧急调查，上报梅林安全委员会。项目已经报案，链上部分与慢雾和 BEOSIN 合作，全力追回资产。 Mineral 表示，目前遭受攻击被盗的 LP 池，主要来自官方，如有用户 LP 资产在本次被攻击中产生损失，官方会进行全额赔偿。 项目合约及国库均安全，所有质押资产未受到影响，仅 LP 钱包受到了攻击，挖矿收益等其他资产发放不会受到影响。 而黄水晶算力会按照原计划今日上线。  此外，Mineral 会在稍后情况明确后会逐步添加流动性 LP，现在 LP 池深度不足，建议用户不要添加流动性。

ChainCatcher 消息，DeFi 借贷协议 OpenLeverage 向攻击者发送链上消息称，若攻击者归还资金，愿将被盗资金的 20% 作为赏金。 ChainCatcher 此前报道，据派盾监测，OpenLeverage 遭攻击，损失约 23.6 万美元。

ChainCatcher 消息，据 Zest Protocol 官方消息，Zest Protocol 遭受攻击，用户余额安全。攻击者从协议中移除了 324k STX，这笔钱将从 Zest 协议金库中偿还，用户将恢复原状。 Zest 协议将暂停服务，直至另行通知。在协议重新开放之前，用户的持仓将不受影响。 Zest Protocol 将给予 10 万美元奖励提供攻击者讯息的举报者。