Zondacrypto交易所遭3.5亿美元挪用指控，执行长公开否认

Bitwarden CLI 惡意 npm 包曝光，加密錢包面臨竊取風險

慢霧首席信息安全官 23pds 转发 Bitwarden 安全团队警告，Bitwarden CLI 2026.4.0 版本曾于 4 月 22 日美东时间下午 5:57 至 7:30 的 1.5 小时内，通过 npm 发布恶意包被篡改的 npm 版本已被撤回，Bitwarden 官方确认密码金库数据和生产系统未受影响。

摩根大通：KelpDAO 漏洞抹去 200 亿 DeFi TVL，机构吸引力受损

由分析师 Nikolaos Panigirtzoglou 领衔的摩根大通研究团队，于 4 月 23 日发布报告指出，持续存在的安全漏洞与停滞不前的总锁定价值（TVL）正在削弱去中心化金融（DeFi）对机构投资者的吸引力。报告强调，KelpDAO 漏洞在数日内抹去约 200 亿美元的 DeFi TVL，暴露出结构性风险。

SlowMist 警报：朝鲜黑客组织招募诱骗 Web3 开发者，3 个月窃取 1200 万

安全机构慢雾发布紧急预警，北韩 Lazarus 组织旗下子组织 HexagonalRodent 正针对 Web3 开发者发动攻击，透过高薪远程岗位等社交工程手段，诱导开发者执行包含恶意软件后门的技能评估代码，最终窃取加密资产。根据 Expel 调查报告，2026 年前三个季度，损失金额达 1,200 万美元。

CoW DAO 提议补偿 cow.fi 域名劫持受害者，最高 100% 赔付损失

CoW DAO 于 4 月 23 日在治理论坛发布补偿提案（CIP），提议设立酌情补助计划，为 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的损失补偿。事件估计造成用户损失约 120 万美元 USDC，CoW DAO 强调，补偿属于自愿发放的特惠性质，不代表承认任何法律责任。

CryptoQuant：KelpDAO 泄露漏洞引爆 2024 年以来最严重危机，Aave TVL 暴跌 33%

根据 CryptoQuant 在 4 月 23 日评估，上周发生的 KelpDAO 漏洞攻击，在 72 小时内使 Aave 面临 1.24 亿至 2.3 亿美元的潜在坏账风险，TVL 暴跌 33%，USDT 和 USDC 借款利率从 3.4% 飙升至 14%，ETH 借款利率升至 2024 年 1 月以来最高水平 8%。

朝鲜 APT 组织 HexagonalRodent 使用 AI 驱动的攻击从 Web3 开发者处窃取 $12M （加密货币）

Gate News 消息，4月24日——根据网络安全公司 Expel 的说法，一个被称为 HexagonalRodent 的朝鲜国家资助 APT 组织在 2026 年第一季度从 Web3 开发者手中窃取了超过 $12 百万美元的加密货币和 NFT。该组织攻破了 2,726 台开发者设备，并获得了对 26,584 个加密钱包的访问权限.