安全事件

香港金融管理局 (HKMA) 於 4 月 28 日就冒充兩家新獲發牌穩定幣發行機構名稱、在市場上流通的詐騙型數位代幣發出公開警示。帶有代號 "HKDAP" 與 "HSBC" 的代幣已在市場出現，未經 Anchorpoint 授權。

根據 Bitcoin.pl 的說法，已倒閉的波蘭交易所 Zondacrypto 的客戶資料已在暗網上被提供出售，且有兩個套組可供選擇。較小的套組包含電子郵件地址與基本身分識別資料，價格約為 550 歐元；而較大的資料集合——包括身分證明文件掃描件、驗證自拍照、登入紀錄與錢包地址——則約需 0.6 BTC。 此次資料外洩事件發生之際，Zondacrypto 本月因流動性問題與資金儲備耗盡而停止提款。安全專家警告，這份完整資料集可被網路犯罪分子用於進行身分詐騙、開立未經授權的銀行帳戶，或申請貸款。受影響用戶被建議更改密碼並啟用雙因素驗證。

根據 Blockaid 的說法，Aftermath Finance 在 Sui Network 上的永續合約協議遭受持續性攻擊，約有 110 萬美元 USDC 透過 36 分鐘內的 11 筆交易被盜走。該漏洞源自永續合約清算系統中的費用帳務缺陷，使攻擊者能夠膨脹合成抵押品，並從協議金庫提取資金。

According to Manifold researcher Ax Sharma, 30 plugins on ClawHub disguised as legitimate AI tools have been downloaded over 9,800 times while secretly converting users' AI assistants into cryptocurrency workers. The plugins, published under the account imaflytok, appear as routine task schedulers a

Gate 新聞訊息，4 月 29 日——根據 GoPlus Security 的說法，在過去 48 小時內，以太坊主網發生四起智能合約攻擊，(4 月 27-29 日) 期間造成的合計損失超過 150 萬美元。 事件包括：攻擊鏈上聚合器合約，造成 983,000 美元的損失；攻擊 TradingProtocol 第三方金庫合約導致損失 398,000 美元；攻擊 BCB 合約，利用重入漏洞造成損失 39,800 美元；以及另一份合約中的任意呼叫漏洞，導致 QNT 資產損失 124,900 美元。 GoPlus Security 警告稱，隨著人工智慧進入駭客攻擊版圖，攻擊正變得愈加精準且快速，漏洞發現窗口已從「天」被壓縮到「秒」。

Gate News 訊息，4月29日——ZetaChain 發布一份事後檢討報告，確認 4月24日的攻擊利用了其跨鏈訊息傳遞管線中的漏洞。此次事件造成的總損失為 $333,868 (，主要為 USDC 和 USDT)，涵蓋在以太坊、Arbitrum、以及 Base 和 BSC 上的九筆交易。

Gate News 消息，4 月 29 日——美國一法院已判處 Maximilien de Hoop Cartier（卡地亞奢侈珠寶家族的後裔）8 年監禁，罪名是經營未獲許可的場外加密貨幣交易所。檢方表示，該行為通過美國銀行帳戶運送了超過 $470 百萬美元的毒品

Gate News 消息，4 月 29 日——韓國金融委員會在第八次例行會議上決定，將兩起虛擬資產市場操縱案件移交調查機關。已偵測到的操縱手法結合了傳統證券市場策略與 API 濫用技術

根據 CertiK 指出，Syndicate 的 Commons 橋——以太坊基礎設施平台的官方跨鏈橋——在週三遭遇了漏洞利用 (April 29)，造成至少 330,000 美元的損失。攻擊者取得了約 1,850 萬枚 SYND 代幣，並以約 330,000 美元將其出售，隨後將其透過跨鏈橋轉至以太坊。

Gate News 訊息，4 月 29 日——根據 Arkham 的區塊鏈監測數據，Kyber Network 駭客 Andean Medjedovic 正在將竊取的資金轉移到 Tornado Cash。Medjedovic 先前在 2023 年底從 KyberSwap 竊取了 48.8 百萬美元，並在先前的攻擊中又從 Indexed Finance 竊取了 16.5 百萬美元。

根據暗網論壇上的貼文，Polymarket 否認有駭客竊取超過 300,000 份客戶資料與 10,000 個使用者個人檔案的指控。該平台表示，攻擊者所引用的資料已可透過其公開的公開程式介面（API）與鏈上區塊鏈記錄在公開網路上取得，而非源自未經授權的存取。 安全研究人員與資安專家對該外洩指控提出質疑，部分人士認為該資料是從公開來源抓取的，而不是從內部系統洩漏出來。Legalblock 的首席安全官 Vladimir S 表示，這種情況看起來像是有人蒐集了公開可得的資訊，並錯誤地將其描述為資料庫外洩。

根據 a16z Crypto 於 4 月 29 日發布的研究報告，AI 代理在配備結構化領域知識的條件下，重現以太坊價格操縱漏洞的成功率達 70%；在無任何領域知識的沙盒環境中，成功率僅為 10%。報告同時記錄了 AI 代理獨立繞過沙盒限制存取未來交易資訊的案例，及代理在建立多步驟可盈利攻擊方案時的系統性失敗模式。

根據 Polymarket 於 4 月 29 日在 X 貼文，網路安全帳號 Dark Web Informer 指控去中心化預測市場平台 Polymarket 遭到入侵，超過 30 萬筆記錄及一個漏洞利用工具包被洩露至網路犯罪論壇；Polymarket 隨即在 X 聲明否認，表示所有鏈上數據公開可審計。

Gate News 訊息，4 月 29 日——Slow Mist 偵測到一筆惡意交易，利用了 EIP-7702 帳戶的漏洞，導致 1,988.5 QNT (約 54.93 ETH) 從一個 QNT 储備池中遭受損失。 該漏洞源自儲備池存取權控制上的結構性缺陷

根據區塊鏈安全審計機構 CertiK 於 4 月 28 日發布的報告，反洗錢（AML）執法已取代證券違規認定，成為加密公司面臨的首要監管威脅。報告顯示，美國司法部和金融犯罪執法網絡（FinCEN）在 2025 年上半年共開出 9 億美元的 AML 相關罰款；同期，美國證券交易委員會（SEC）加密資產罰款年跌 97%。

Gate 新聞消息，4 月 29 日——比特幣現貨 ETF 昨日錄得淨流出 8,968 萬美元 (4 月 28 日)，其中貝萊克（BlackRock）的 IBIT 領跌，損失達 $112 百萬。以太坊現貨 ETF 則出現淨流出 2,180 萬美元，貝萊克（BlackRock）的 ETHA 佔此次下滑 1,317 萬美元。 與此同時，Mi

根據印度網路犯罪協調中心（I4C）於 4 月 28 日發布官方警示，針對 Trust Wallet 用戶的「錢包竊取」詐騙案件持續增加，攻擊者透過偽造「加密資產驗證」步驟誘騙用戶向惡意智能合約授予錢包權限，資金隨即被自動化腳本轉出。I4C 表示，上述詐騙案件的增長趨勢，源於國家網路犯罪舉報入口網站收到的投訴數量激增。

香港金融管理局（HKMA）於 4 月 28 日發布官方公告，指出市場上出現使用「HKDAP」或「HSBC」為代號的代幣，上述代幣並非由持牌穩定幣發行人發行，亦與相關持牌發行人無任何關聯。根據 HKMA 同日公告，兩名持牌穩定幣發行人——碇點金融科技有限公司及香港上海匯豐銀行有限公司——均已聲明未發行任何受監管穩定幣。

Gate 新聞訊息，4 月 29 日——去中心化預測市場平台 Polymarket 似乎遭遇資料外洩，威脅行為者 xorcat 在已知的網路犯罪論壇上發布超過 300,000 筆資料記錄以及配套的漏洞利用工具。據報導，攻擊者在 Polymarket 的 Gamma 與 CLOB API 中利用未披露的「API 端點」、分頁繞過以及 CORS 設定錯誤來提取該資料。 外洩的資料包含 10,000 名使用者的完整個人資訊 names、代理錢包與 base addresses、4,111 則留言、1,000 筆舉報記錄 包含 58 個 ETH 地址以及管理員驗證識別碼、48,536 則 Gamma 市場中繼資料條目、超過 250,000 個活躍的 CLOB 市場自動做市商地址，以及 9,000 個追蹤者社交圖譜資料點。 漏洞利用工具包包含多個漏洞的概念驗證程式碼：CVE-2025-62718 Axios NO_PROXY 繞過，CVSS 9.9，可實現伺服器端請求偽造；CVE-2024-51479 Next.js 中介軟體驗證繞過，CVSS 7.5；以及 CORS 設定錯誤。該套件還包含自動化資料擷取腳本以及完整的紅隊評估報告。