零时科技每月安全事件看点开始了!据多家区块链安全监测平台统计,2026 年 3 月加密货币领域安全态势呈现“协议攻击小幅反弹,AI 钓鱼诈骗持续高发”的特点。当月因安全事件造成的总损失约 1.98 亿美元,其中黑客攻击与合约漏洞相关的损失约 1.75 亿美元,钓鱼诈骗及 Rug Pull 相关损失约 8300 万美元。
协议黑客攻击共发生 16 起,较上月下降 11.1%,但单笔损失金额有所上升;钓鱼与授权劫持类诈骗事件共发生 22 起,占当月总事件数的 57.9 %,其中 AI 仿冒钓鱼、假客服诈骗成为主要推手。攻击手法持续向“低成本、高收益”的社会工程学倾斜,结合 AI 生成页面的精准钓鱼愈发普遍,个人投资者及中小型项目成为主要攻击目标。
黑客攻击方面
典型安全事件6起
• Resolv协议私钥泄露攻击
损失金额:约 2450 万美元
事件详情:3 月 22 日,攻击者通过窃取 Resolv 基础设施的私钥,获得了对 USR 稳定币铸造额度的签名批准权限。黑客先存入 10 万 USDC,却利用被盗私钥非法铸造了 8000 万枚 USR(正常比例仅应获得约 20 万枚),随后将 4478 万 USR 兑换为 11,437 枚 ETH(价值约 2385万 美元),导致 USR 严重脱锚,币价一度暴跌至 0.025 美元。更致命的是,如此关键的“SERVICE_ROLE”权限竟由单一外部账户(EOA)掌控,而非更安全的多重签名账户,且铸币合约缺乏预言机验证和铸造上限限制。
• Bitrefill遭朝鲜Lazarus组织攻击
损失金额:未披露(热钱包资金被盗,超18,500条购买记录泄露)
事件详情:3 月 1 日,知名加密货币电商平台 Bitrefill 披露,其遭到与朝鲜 Lazarus 组织相关的黑客攻击。攻击者通过入侵一名员工的笔记本电脑,窃取了遗留凭证,该凭证提供了对包含生产环境密钥的快照的访问权限。凭借此权限,攻击者横向移动,侵入公司基础设施、部分数据库和加密货币钱包,导致热钱包资金被转移。
• Solv Protocol双重铸造漏洞攻击
损失金额:约 270 万美元
事件详情:3 月 3 日,攻击者利用 Solv Protocol 合约的双重铸造漏洞。当用户存入 NFT 时,合约会错误地铸造两次代币。攻击者重复操作 22 次,将 135 枚 BRO 膨胀至 5.67 亿枚,再换成 38 枚 SolvBTC(约 270 万美元),最后转入隐私协议。事后项目方全额赔付用户,并向攻击者提供了 10% 的白帽悬赏。
• MT Token 代币设计缺陷攻击
损失金额:约 24.2 万美元
事件详情:3 月 10 日,MT Token 是一种通缩型代币,内置交易限制机制。攻击者利用合约在通缩阶段的交易限制逻辑缺陷,结合特殊转账条件的处理不一致,绕过了购买限制获取初始代币。随后,攻击者通过受控的流动性操作和交易操纵 pendingBurnAmount,迫使池子进入异常状态,人为抬高代币价格后获利套现。
• sDOLA Llamalend 价格操纵攻击
损失金额:约 23.9 万美元
事件详情:3 月 2 日,攻击者利用 sDOLA 代币的价格可操纵性(任何人可调用 donate() 函数增加资产),推高 sDOLA 价格,触发 LLAMMA 借贷市场的清算机制。由于 LLAMMA 的健康度计算依赖于可操纵的价格预言机,攻击者成功将用户仓位推至负健康度后发起清算获利。这起事件暴露出借贷协议依赖可操纵代币作为抵押品的系统性风险。
• Gordi NFT 平台攻击
损失金额:约 23 万美元
事件详情:3 月 12 日,NFT 流动性交易平台 Gordi 遭受攻击,损失约 23 万美元。攻击者利用平台合约中的漏洞,非法提取用户质押的 NFT 资产。项目方事后承诺对受损用户进行全额赔偿。
Rug Pull / 钓鱼诈骗
典型安全事件6起
(1) 3 月 15 日,0x2e4e9 开头地址的受害者在签署钓鱼加额签名后损失了 720,108 美元的 valBUSD + valTUSD。
(2) 3 月 17 日,0x051bb 开头地址的受害者在以太坊上签署钓鱼许可(无 gas 授权)签名后,损失了约 177 万美元的 USDC。
(3) 虚假 DEX 地址劫持 Rug Pull
损失金额:约 2400 万美元
事件性质:3 月 5 日,与X平台用户 @sillytuna 关联的钱包遭遇 Rug Pull,损失约 2400 万美元的 aEthUSDC。约 2000 万 DAI 存放在攻击者控制的两个中介钱包中。受害者发起悬赏,对资金追回给予 10% 奖励。
(4) Pudgy World 仿冒钓鱼事件
损失金额:未披露具体金额,但波及11款主流钱包用户
事件性质:3 月 17 日,安全公司 Malwarebytes 披露,钓鱼网站 pudgypengu-gamegifts[.]live 仿冒刚上线的 Pudgy World 游戏。攻击者制作了针对 11 款钱包的高仿解锁界面,利用 DOM 覆盖技术伪造浏览器弹窗,并调用 WebUSB API 模拟硬件钱包连接,诱导用户输入助记词。该事件是 3 月 AI 驱动钓鱼攻击的典型代表。
(5) OpenClaw 钓鱼攻击
损失金额:约 67 万美元
事件性质:3 月 19 日,安全机构 OX Security 披露,针对 GitHub 开发者加密钱包的 OpenClaw 钓鱼攻击蔓延。攻击者利用 AI 生成仿冒页面和恶意软件,诱导开发者下载含后门的工具,窃取 API 密钥和加密资产。
(6) Bubblemaps 披露 13 地址钓鱼网络
损失金额:约 2.3 万美元
事件性质:3 月 12 日,一个由 13 个关联地址组成的攻击网络已成功利用 35 名用户,累计获利约2.3 万美元,通过系统性的钱包钓鱼和授权劫持收割散户资产。
总结
2026 年 3 月,区块链安全呈现三大特征:协议攻击多点爆发、国家级 APT 盯上加密企业、AI 钓鱼成主流威胁。协议攻击共 16 起,Resolv( 2450 万美元)、Bitrefill( Lazarus 组织)、Solv Protocol( 270 万美元) 影响最大,核心漏洞集中在私钥泄露、业务逻辑缺陷、价格操纵。钓鱼诈骗占事件总数 57.9%,AI 生成钓鱼页面+蓝 V 账号推广组合手段高发。
零时科技安全团队建议:
• 个人:助记词永不联网、不告知他人;警惕 AI 仿冒网站;参与空投 /mint 前验证合约;定期清理授权。
• 项目方:私钥多签管理;上线前专业审计;建立应急响应机制。
• 行业:共享威胁情报,建立黑名单,推动资金冻结与追回。
