安全事件

据 Yuga Labs 副总裁 0xQuit 在 X 上称，上周日（6 月 8 日）Yuga Labs 进行了一次白帽黑客行动，从一个影响已停止运营的 Floor Protocol 的漏洞中救回了约 57 万美元的 NFT。该行动挽救了 29 个 Bored Apes 和两个 CryptoPunks 等其他资产。0xQuit 表示，团队发现了一个漏洞，该漏洞可能扩展到其他重要藏品，因此在恶意行为者能够利用它们之前，团队移除了存在风险的池中的已暴露 NFT。Yuga Labs 目前正在托管这些已恢复的资产，同时与 Floor Protocol 的开发者合作，将它们归还给其合法所有者。

据 Yuga Labs 首席执行官 Michael Figge 称，6 月 8 日，该公司完成了一次白帽行动，从 Flooring Protocol 中正在进行的漏洞利用中救回了价值超过 50 万美元的 68 件蓝筹 NFT。被救回的资产包括 29 个 Bored Ape Yacht Club NFT、四个 Mutant Apes、两个 CryptoPunks、一个 Azuki 以及其他资产，目前由 Yuga Labs 托管，等待归还给原始所有者。此次行动由 GrailsOTC 资助，后者是 Yuga Labs 的场外交易（OTC）交易台，在其他攻击者可能利用同一漏洞之前，投入资金以提取处于风险中的资产。Blockchain 部门 VP 0xQuit 牵头了链上恢复工作，识别出第二个更广泛的漏洞，该漏洞使更多尚未被最初攻击者触及的 NFT 资金池暴露出来。

根据 CoinGecko 和 NFT Price Floor 数据，白帽黑客在今天成功救回了 $500K （在针对 Flooring 协议的漏洞利用之后）。自 4 月以来，NFT 市场总市值已降温，CryptoPunks 和 BAYC 仍凭借其以总价值计算的表现，保持顶级藏品的地位。

据链上调查员 ZachXBT 以及吴区块链分享的相关报道，上周加密货币交易所 JuCoin 因用户报告的提现延迟以及外界对该交易所储备构成的质疑而受到关注。JuCoin 将提现问题归因于平台升级和重组工作。 ZachXBT 对 JuCoin 所称的约 5.11 亿美元储备规模表示质疑，尤其是其在 JuCoin 自有的 JuChain 网络上列为 USDC 和 USDT 的资产构成。据报道，这些代币可能是项目发行资产，而非来自 Circle 或 Tether 的官方发行稳定币，并引发了担忧：储备钱包几乎持有全部代币，而单一钱包的集中度则引发了关于交易所储备流动性及可验证性的疑问。

根据 Syscoin 在 X 上发布的事后分析报告，攻击者近期在桥接中继路径中利用了一个验证漏洞，未经授权铸造了大约 50 亿 SYS 代币。未经授权的代币当时价值略低于 1000 万美元，导致 SYS 出现 20% 的自由落体。 攻击者在将资金拆分到分别持有 40 亿和 10 亿 SYS 的两个钱包之前，先将被盗资金发送到一个单一地址。Syscoin 随即暂停了桥接，并联系交易所将这些受污染的代币列入黑名单。团队确认了受影响的验证路径，并在安全审查待定的情况下实施了修复；同时，区块链分析公司 Hupzy 指出，该事件体现了桥接模型中反复出现的结构性问题。

据 Ethereum Korea 称，Base Layer 2 在 5 月 28 日 Azul 升级之后，出现了超过 30 小时的提款延迟，原因是 TEE（可信执行环境）隔离区的漏洞导致状态更新停滞。此次升级旨在通过集成可信执行环境（TEE）和零知识证明验证系统来强化 Base 的乐观汇总（optimistic rollup）结构。然而，TEE 隔离区故障使得无法及时完成状态结算。值得注意的是，零知识证明设计允许任何参与者提交纠正性证明，但在该事件窗口内没有提交任何证明来解决该问题。

根据 Ripple 前首席技术官 David Schwartz 在 6 月 7 日的 X 帖子，拥有 Zcash 且仍在旧的隔离池中的用户无论是否移动他们的币，都会保持安全，此前在披露 Zcash 的 Orchard 池存在关键漏洞之后。该漏洞于 5 月 29 日被发现，并在 6 月 2 日修补，理论上可能会导致启用伪造 ZEC 的创建。Schwartz 的言论在 Zcash 于披露后下跌超过 30% 的背景下提供了安慰，尽管开发者报告没有确认的被利用情况。“如果没有利用，那么无论他们移动还是不移动他们的币，每个人都是安全的。他们最终会在已弃用的池里有点孤独，但他们仍然是安全的，并且可访问的，”Schwartz 写道。

据 Odaily，去中心化衍生品交易所 edgeX 已完成对在 6 月 2 日事件中受影响用户的赔付分发。符合条件的用户，其在 6 月 2 日 4:50 至 6:00 UTC 之间在 edgeX Perp V1 或 V2 上的 EDGE 多头仓位被清算或触发止损的，可每位用户最高获得 100,000 USDC 等值。 赔付分为两部分：50% 以 USDC 分发，目前可申请提取；50% 以 EDGE 代币分发，并将在 2027 年 4 月的第一周完成，分发时根据分发时点的 7 天 TWAP 计算。申请期将持续至 6 月 9 日 14:00 UTC；未能在此之前完成注册的用户将丧失赔付资格。

据中国最高法院，一名山东男子背下了 11 个完整的恢复助记词单词，并部分回忆了第 12 个单词，然后利用碎片化记忆在 6 月 7 日用来解锁并从一名熟人处偷走 107 BTC，消息称。该攻击者随后将被盗比特币卖出了 66 万元。法院判处他 10 年 9 个月监禁，并因盗窃罚款 10 万元。

据 Digital Assets 的主编朴桑赫（Park Sang-hyuk）称，ZEC 在 6 月 5 日隔夜暴跌 60%，原因是披露了 Zcash 的 Orchard 池存在漏洞，该漏洞允许未经授权的代币发行。该缺陷在大约四年内未被修补。朴在 6 月 8 日接受 SampioTV 采访时表示，Zcash 已发布紧急补丁，并计划通过 Ironwood 升级在数学层面封堵该漏洞，不过升级时间表仍不确定。市场仍担忧在从 Orchard 池过渡到新池的过程中可能出现提款失败，这可能表明此前已被利用。

据 Solidity 安全研究员 Quit 称，白帽研究人员近日从易受攻击的 Flooring Protocol 池中救回了价值超过 50 万美元的 66 个 NFT，此前他们在该协议逻辑中发现了关键漏洞。被救回的资产包括 29 个 BAYC、4 个 MAYC、2 个 CryptoPunks、1 个 Azuki、2 个 Elementals、26 个 Captains、1 个 Moonbird、2 个 Doodles 和 1 个 BAKC。Quit 建议用户停止向 Flooring Protocol 存入 NFT，并表示追回的资产将在数周内归还给其合法所有者。

据 Foresight News 报道，Ethereum Foundation 开发者增长负责人 Austin Griffith 在 X 上发帖称，链上播客项目 slop.computer 尚未开设官方 X 账号。建议用户谨慎防范假冒账号。

区块链安全公司 GoPlus 于 6 月 8 日在 X 披露，Meta 账户恢复功能存在高危设计缺陷：攻击者仅需输入 META 用户名，无需任何登录或验证，即可直接获取用户绑定的邮箱、手机号码等完整 PII（个人敏感信息）。英国《地铁报》报道，International Cyber Digest 已验证此漏洞。 GoPlus 的安全建议 GoPlus 针对此漏洞发布的用户保护措施： · 移除或更换已泄露的邮箱/手机号码作为账户恢复方式 · 修改相关账号密码并启用双重验证（2FA） · 不点击任何「账户异常」「验证」「重设密码」相关的邮件或短信 · 多渠道核实：通过官方文件或官方其他社群媒体渠道验证信息真实性 已确认的漏洞影响案例 International Cyber Digest 在 X 平台发文确认：「Meta 又出大问题了：它的账户恢复功能允许仅凭用户名即可获取完整的账户个人身份信息，包括电子邮件和电话号码。我们核实了这一说法，并发现了属于几位公众人物的社交媒体账户。」 受影响的确认账户包括：马德里球员 Kylian Mbappé（泄露其个人 TikTok 账户信息）、Crist

英国高等法院于 6 月 5 日就钱志敏案相关资产处置举行程序性听证，约 1.6 万名中国受害者完成登记，依英国《犯罪所得法》下的民事追索程序参与约 6 万枚比特币等资产追索。此次听证的主要议题为各律师事务所之间的诉讼费用分摊，判断中国受害者能否主张涉案资产归属的「法律适用问题」专门听证定于 7 月举行。 此次听证的程序结果与下一步时程 英国高等法院 6 月 5 日听证确认的程序事实： 律师费分摊方式：各律师事务所按代表受害者人数比例承担 存款截止日期：2026 年 6 月 26 日下午 4 时，各律所需将 19 万英镑中的对应份额存入法院账户 下一步听证：2026 年 7 月，「法律适用问题」（中国受害者能否依法主张涉案资产归属）将举行专门听证 受害者登记截止：已于 2026 年 5 月 22 日关闭，约 1.6 万名中国受害者已完成登记 FBI IC3 2025 年加密诈骗关键数据 FBI 网络犯罪投诉中心（IC3）《2025 年年度报告》的确认数字： 加密诈骗总损失：113.66 亿美元（年增 22%） 加密相关投诉总量：181,565 起（年增 21%，创纪录） 每起投诉平均损失

据 Odaily Seer 称，Zcash 于 6 月 4 日部署了一次紧急网络升级，以修补其 Orchard 隐私池中的一项关键漏洞，该漏洞可能使攻击者能够无限伪造 ZEC。该漏洞无法在密码学层面被证明在过去已被利用。随后 Shielded Labs 于 6 月 5 提议在 NU7 于 7 月升级期间部署新的隐私池，并进行严格的代币退出审计，以检测任何未经授权的代币创建。Polymarket 已推出一个预测市场，判断该漏洞是否在修复之前被利用；若在 2026 年 12 月 31 日之前提供官方确认，则将进行结算。

Syscoin 公布初步事后分析，桥接中继路径的验证漏洞造成验证绕过，在 UTXO 端生成约 50 亿枚未授权 SYS，非私钥盗取。受影响地址为 sys1qgaelv690g7wwp2xchfdh0enf5uewzq5sm9wvcw。桥接服务已暂停，团队确认受影响验证路径并制定修复方案，同时协调交易所冻结或监控污染 UTXO。恢复时间以完成修复与审核为准。

据 TenArmorAlert 监测，基于以太坊的 Ambient Finance 今日（6 月 8 日）遭到黑客攻击，造成约 11.06 万美元损失。

链上 Lens 监测显示，与 BitMEX 联合创办人 Arthur Hayes 关联钱包于 6 月 8 日提取 33,979 枚 HYPE。链上侦探 ZachXBT 在 X 点名 Hayes，指其 15 天内对 NEAR、HYPE、ZEC 和 Worldcoin 代币唱多并迅速清仓，质疑追随者成退出流动性的“接盘方”。 WLD 事件时间线：确认的帖子与清仓日期 WLD（Worldcoin）是此次争议的核心案例。Hayes 旗下 Maelstrom 基金以 SpaceX IPO 为论点，将 WLD 定位为“AI IPO 浪潮的高 Beta 代理标的”；2026 年 6 月 4 日，Hayes 在 X 上高调公开持仓，并表示“SpaceX IPO 将让人们疯狂，握着你手上的 WLD”。 两天后（2026 年 6 月 6 日），Hayes 在 X 上声明清仓 WLD，理由是“这张图的方向不对”。彼时 WLD 已从一周高点暴跌约 30%。Hayes 此前也已公开清仓 ZEC（理由是 Orchard 池漏洞使隐私完美性存疑，已在此前文章报道），并在同一 ZEC 清仓帖子中确认仍持有 WLD。