零时科技每月安全事件看点开始了据多家区块链安全监测平台统计2026 年 6 月加密货币领域安全态势呈现“攻击频率创年内新高钓鱼攻击占比显著上升”的特点。当月因安全事件造成的总损失约 8173 万美元其中黑客攻击与合约漏洞相关损失约 6900 万美元钓鱼攻击造成约 1270 万美元损失。协议相关安全事件共发生 67 起创下 2026 年初以来的单月最高纪录。攻击手法持续迭代MEV 机器人定向攻击、供应链前端注入、ZK 证明验证缺陷等新型攻击路径集中爆发。跨链桥相关攻击持续构成主要威胁Axelar 跨链桥损失 467 万美元。黑客组织攻击重心从传统合约漏洞转向自动化系统授权管理、跨链基础设施及社会工程学攻击等多方向扩散。黑客攻击方面典型安全事件6起• Humanity Protocol 私钥泄露攻击时间6 月 9 日损失金额约 3200 万美元事件详情去中心化身份验证协议 Humanity Protocol 遭攻击攻击者通过受感染设备获取内部权限铸造并转移大量 $H 代币导致代币单日暴跌约 89%。Quantstamp 调查显示攻击工具具有朝鲜黑客特征通过伪装成 Bithumb 交易所的钓鱼邮件渗透。攻击者至今仍控制着 BNB 链上的部署合约。• Syscoin Bridge 跨链桥验证漏洞攻击时间6 月 7 日损失金额约 1000 万美元事件详情Syscoin 跨链桥中继验证链路存在逻辑缺陷攻击者利用该漏洞伪造跨链交易证明成功绕过系统校验机制在 UTXO 侧无抵押、无销毁对应资产的情况下非法铸造巨额 SYS 代币。黑客将被盗代币拆分转移至多组地址规避追踪事件直接造成代币行情短时大跌。项目方第一时间紧急关停全部跨链桥服务启动安全应急排查后续完成漏洞修复、追回并销毁被盗代币恢复链上代币正常流通总量。 阅读完整事件分析https://syscoin.org/news/technical-postmortem-syscoin-bridge-incident-recovery-and-remediation• JaredFromSubway.eth MEV 机器人授权管理漏洞攻击时间6 月 20 日损失金额约 750 万美元事件详情以太坊知名 MEV 机器人运营商 JaredFromSubway.eth 遭攻击攻击者构建虚假MEV套利环境蜜罐诱骗机器人自动批准恶意合约通过 transferFrom 函数提取机器人钱包内资产。JaredFromSubway.eth 最初提供 300 万美元赏金后提高至 750 万美元以追回 50% 被盗金额。• Secret Network-Axelar 跨链桥验证漏洞攻击时间6 月 10 日损失金额约 467 万美元事件详情黑客利用 Secret Network 与 Axelar 跨链桥合约验证漏洞伪造存款并铸造无抵押代币后套现。攻击持续七天未被察觉直至一笔正常跨链转账因托管账户资金不足才暴露。漏洞合约自 2023 年初部署以来从未进行外部审计。• Polymarket 供应链前端注入攻击时间6 月 25 日损失金额约 300 万美元事件详情预测市场 Polymarket 遭供应链攻击攻击者入侵第三方前端服务并植入恶意脚本诱导用户签署涉及 EIP-7702 委托执行的恶意授权交易从而转移钱包内资产。此次攻击未影响平台智能合约而是利用前端被篡改实施攻击导致至少 11 个用户钱包受影响。Polymarket 迅速移除恶意代码并承诺全额赔付。该事件也反映出当前新兴授权机制如 EIP-7702在用户理解和安全验证方面仍存在较大缺口。• Aztec Connect 验证逻辑漏洞攻击时间6 月 14 日第二次攻击损失金额约 210 万美元两次合计约 430 万美元事件详情以太坊隐私 Rollup 协议 Aztec Connect 在 6 月内遭受两次攻击漏洞根源在于 ZK 证明验证路径与 L1 结算路径之间的参数未绑定导致状态不一致。该漏洞代码已上线超过两年。Rug Pull / 钓鱼诈骗典型安全事件3起(1)韩国KOL Jadoodoo X账号被盗钓鱼攻击损失金额约 5000 美元事件性质6 月 1 日韩国加密 KOL“西八姐”jadoodoo_的 X 账号被黑客盗取攻击者以合作名义向粉丝私信发送钓鱼链接。目前已有多名 KOL 中招总损失约 5,000 美元。安全机构提醒用户不要点击链接、连接钱包或下载恶意软件。(2)Gnosis X 账号入侵钓鱼损失金额暂未披露事件性质6 月 25 日Gnosis 官方 X 账号遭入侵黑客发布虚假投票、奖励活动等内容诱导用户点击恶意链接。安全机构发布警告提醒用户不要与该账号互动、点击链接、连接钱包或签署交易。已与钓鱼网站交互的用户需立即撤销钱包授权并将资产转移至安全钱包。(3)假冒 MetaMask 插件钓鱼损失金额暂未披露事件性质6 月初出现假冒的 MetaMask 浏览器插件通过第三方应用商店及钓鱼网站传播诱导用户导入助记词以完成资产清空。安全机构已就此发布多次预警提醒用户仅从官方渠道下载钱包插件。总结攻击目标从传统协议向MEV机器人、跨链桥扩展新型攻击路径供应链注入、ZK验证缺陷、委托授权钓鱼集中爆发。跨链桥持续“失守”Secret Network攻击持续7天未被发现暴露链间验证机制的结构性脆弱性。安全建议个人用户定期检查并撤销钱包授权警惕钓鱼链接和恶意签名请求高价值资产使用独立钱包隔离风险发现可疑交易第一时间保留链上证据并及时通过官方渠道反馈。项目方加强跨链桥验证机制的多层校验避免单点验证失效对自动化交易系统实施严格授权管理确保合约代码开源并接受第三方审计建立7×24小时异常监测与熔断机制。行业层面推动跨链桥安全标准的建立与完善加强APT威胁情报共享推动全球监管协作加大跨境打击力度。零时科技安全团队将持续关注链上安全态势为行业提供安全预警与解决方案。