据Beosin Alert平台监测数据统计，2026年5月，各类安全事件损失金额总计约7615万美元，发生重大黑客攻击事件共『36』起，主要原因为合约漏洞与私钥泄露。其中因合约/网络漏洞的安全事件有17起，因私钥泄露受损的安全事件有10起，DeFi生态的代码安全与运营安全面临严峻挑战。

5月损失Top10协议

连接 Verus L1 链和 Ethereum 的跨链桥 Verus-Ethereum Bridge 因合约漏洞被攻击，损失金额最大，达1158万美元。Echo Protocol因私钥泄露被攻击者铸造1000枚eBTC（纸面价值约7670万美元），但因流动性所限，最终实际获利约513万美元。

被攻击项目类型及各链损失情况

被攻击对象涵盖跨链桥、去中心化交易所、借贷协议、预测市场、稳定币、普通用户等多种类型，其中跨链桥损失金额最多，高达2799.5万，DeFi相关的项目被攻击的次数最多，统计为14次。

5月损失金额最多的链为Ethereum，损失金额超过4876万美元，部分跨链桥和多数DeFi协议的安全事件依然以Ethereum为主。其次是BNB Chain、Monad、TON，此外Monero、Bitcoin也有安全事件发生，链上攻击呈现多链态势。

主要安全事件分析

1. Verus：跨链消息验证缺陷

Verus-Ethereum Bridge 的运作方式是由提交方提供证明数据，表明 Verus 链上存在一笔经公证确认的合格输出，桥合约验证通过后在 Ethereum 上释放资产。而其中的漏洞在于Ethereum侧的桥接合约虽然验证了来自Verus链的证明，但未校验该数据是否为有效的原输出，使攻击者可以通过构造虚假的输出通过验证，提取远超其存款的资金。

存在漏洞的代码部分：

本次事件的漏洞与2022年导致Wormhole损失3.2亿美元、Nomad损失1.9亿美元的漏洞属于同一类，都是桥接器验证了消息本身，却没有验证其背后的资金价值。

2. Trusted Volumes：签名参数缺陷

本次攻击者是利用 TrustedVolumes 询价（RFQ）流程中的签名设计缺陷，在实际转账时通过自定义签名数据，将转账方设定成 TrustedVolumes 的 Resolver 合约并顺利通过校验，从而把 Resolver 合约中的资产转出实现获利。

存在漏洞的代码部分：

授权检查引用的是varg4，而执行资金转移却引用的是其它参数，缺少校验导致授权签名者域与实际扣款地址不一致。

那么攻击者只需用注册好的签名者地址签署一个订单，其中 maker = Exploit（通过签名校验），其它签名参数（代币、金额）可设为任意值，例如 1:1 的假订单，使其通过价格预言机的合理价格检查，随后从协议合约中划走资产：

3. 以StablR为例的私钥泄露事件

5月出现了多起私钥泄露事件，损失金额总共超过2500万美元。其中StablR作为合规稳定币发行方，成为了稳定币以及DeFi赛道关于安全治理的典型教训。

StablR推出了两种合规稳定币产品：EURR与USDR，其中控制EURR铸造的多签钱包为 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc；控制USDR铸造的多签钱包为 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3。

由于上述2个多签钱包发起交易都只需1个签名，攻击者通过控制owner地址0xC73fD562de86d7860EE636C20813Bcb2cF4D550d，就将地址0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1加入到上述2个多签钱包，实现了对项目铸币权限的控制：此类事件并不在于代码漏洞，而是项目方的运营安全问题：没有保存好特权地址的私钥，对于高价值/高风险的操作没有采用高阈值多签，对于大额铸造操作没有时间锁，缺乏快速应急响应机制。

Web3安全威胁趋势

2026年Web3安全呈现的最深层趋势是攻击面的系统性扩大。漏洞正同时在代码、基础设施、交互操作和人为流程中出现，单单依靠数次安全审计或工具无法覆盖运营安全、员工端、云基础设施、软件供应链等领域。这对Web3项目方的持续运营安全提出了更高要求。

此外，针对老旧/弃用的合约的攻击频发，其中的漏洞或是授权极易被攻击者利用。合约开发者或运营者应再次检查以往合约的安全性，对于弃用的合约，应及时处理或妥善转移合约中遗留的资金，联系用户取消不必要的授权。用户也应定期使用区块链浏览器或撤销授权工具检查并取消不再使用的合约授权。