黑客扎堆洗💰，都开始行动了 Balancer 攻击者关联地址过去 9 小时向 THORChain 转移了 5609 枚 ETH，价值 1300 万美元 2025.11 Balancer 被盗超 1.16 亿美元，与 Aave 攻击事件的怀疑对象相同，均指向朝鲜黑客组织 Lazarus Group，而两者均在近期高频使用龙卷风进行资金清洗 钱包地址 #Bitget VIP# 费率更低，福利更狠！买美股秒级入场

Venus 攻击者也开始行动了… 11 小时前向地址 0xa21…23A7f 转移 2301 枚 ETH（约 532 万美元），随后分批转入龙卷风 Tornado Cash 中清洗转移，目前链上仍有价值 1,745 万美元的 $ETH 钱包地址 #Bitget VIP# 费率更低，福利更狠！买美股秒级入场

今日venus 之 the 借贷事故，简单梳理一下： 背景 1：有一个提案在明天从 core 借贷池子下架 the； 背景 2：有人在 10.11 前通过龙卷风出来的 4500 个 eth 抵押 aave 借出稳定币，用来不断囤积the（成本据说在 1400w）。 今日，有一个人（疑是黑客？）从囤积 the 的6 个地址，一把扯所有的 the 存进 venus，借出 cake、btc 和 bnb，通过拉高 the 价格，借出更多（没有闪电贷攻击，就是正常借贷），然后任由这个借贷对子自动清算，给 venus 留下了目前价值 1.7M的 cake 坏账（118w 个 cake）。 目前这个人的地址（0x1a35bd28efd46cfc46c2136f878777d69ae16231）里有3,748,850w，和venus 上留下1183952个 cake 的债务（只能由 venus 承担了）。 若是黑客，不择成本，似乎合理，但一切有点太巧合；若不是黑客，就...很奇怪....不管怎么样，venus 的受损是确定的了。

今天又一起链上 DeFi 无抵押铸币攻击事件，Monad 链上被盗 1,000 枚 eBTC ($7645 万)。但由于 eBTC 极差的流动性让黑客没办法把 eBTC 换成其它资产，最终黑客只得逞了 $86 万。 单从这一点来说，没有流动性反而救命了？！😂 时间线 1⃣5:21：Monad 链上的 Echo Protocol 被黑客无抵押铸造了 1,000 枚 eBTC ($7645 万)。 2⃣5:22：黑客把 45 枚 eBTC 存进借贷协议 Curvance 然后借出 11.3 枚 WBTC ($86 万)。不是黑客不想借更多，而是这已经是能借的全部了。 3⃣6:39：11.3 枚 WBTC 通过跨链兑换工具换成 385 枚 ETH 后通过龙卷风洗走。 4⃣DEX 池子没流动性、借贷平台上仅有能借的资产也被他借空了，黑客手上剩余的 955 枚 eBTC 没地方退出，只能干放在钱包里。 5⃣10:37：这得以在事发 5 个小时后，出事项目方 Echo Protocol 通过合约调用把黑客手上剩余的 955 枚 eBTC 给销毁掉。 最终损失就是从 Curvance 上借走的 11.3 枚 WBTC ($86 万)。 黑客地址： -------------------------------------------------------------------------- #Bitget# 来了就是VIP！Crypto、美股、CFD，全球先机一站布局

除了更新之外，再手动转发一下一下陆老师 @luyaoyuan 的精彩分析。 ---分割线--- Titan 作为 Builder 的话，信誉算是比较好的，例如他们自己说要做绝对中立，不亲自做 searcher。另外成名战应该是 22 年硬刚美国财政部，拒绝审查龙卷风交易。 不过这么多钱欸，金额有点过大了，不知道能否抵御这个诱惑。

微信今天开始灰度投放元宝的表情雨广告，就是特定关键词出发彩蛋特效，引流下载。 历史上微信很少接受这类广告投放，属于那种让人知难而退的定价，之前总共好像只有6次全量开放的： 2020年使命召唤手游上线，关键词触发掉落空投； 2021年春节贺岁，「牛年大吉」触发金币雨； 2022年春节商广，「康师傅」触发红包封面； 2022年英雄联盟S12总决赛，关键词触发亚索龙卷风； 2023年元梦之心上线，关键词触发下载红包； 2024年DNF手游上线，关键词触发鬼剑士砍屏； 如有遗漏欢迎补充⋯⋯

Kelp DAO 昨天被黑客通过 LayerZero 跨链桥恶意无锚增发了 2 亿美金以太坊 Staking 代币。 因为 $rsETH 是多链资产，所以黑客欺骗了跨链桥，伪造出“在其他链上已经存入资产”的假象（当然实际上他没存），利用漏洞恶意在 ETH 主网上增发了 116,500 个 rsETH。 然后，黑客把这些无锚代币存进了各种借贷协议里，例如 Aave 和 Morpho，最终借走了真正的以太坊 $ETH 。 所以这件事情现在比较尴尬的一点是：Aave 责任最小，却承担了最大的损失🤦。 尽管尚不明确 Kelp 和 LayerZero 究竟谁的责任更大，但根据 LayerZero 过往的口碑来看，大概率是 Kelp 项目方这边的责任大概率更大一些（并非指控，仅为推测）。 与此同时，对于项目方而言，他们底层的以太坊，也就是 Staked ETH，并没有被黑客直接偷走或换走。 所以项目这个责任更大的一方，反而承受了更小的财务损失。 而且这个 KelpDAO，确切地说，是 Kernel 协议下面的一个子产品。 Kernel 这个协议，目前 $Kernel 尽管上了币安，市值也就 2,200 万美元左右，看起来完全不像赔得起的样子🥲。 而且 Kernel 项目方之前就出过漏洞。 2025 年时，rsETH 就曾被天量增发过一次，但幸好上一次没有造成实际损失。 我有一句名言：一个 DeFi 项目出过一次问题，那它大概率还会出第二次、第三次、第四次问题。 对于 Aave 来说，它过去几乎没有出过什么问题。 而且显然，项目方和 LayerZero 大概率既不愿意掏钱，也未必掏得出钱。 因此尽管这一次同样责任最小，但苦果却落在 AAVE 身上。 这其实就是一种公地悲剧。 万幸的是，Aave 有一个 Umbrella 池。你可以把它理解成一个保险池。 不过，它里面承保的资产是彼此分隔的。 而这次黑客借走的资产几乎全是 WETH。针对 WETH 的保险池，目前大概也就 5,600 万美元左右；和实际大约 2 亿+美元 的亏损相比，仍然有较大差距。 事实上，Aave 的 Umbrella 池 也从未赔付过。因为自从 Aave 上线Umbrella 以来，还从未发生过需要它出险的安全事故。 所以这一次，Aave 可能还是要靠自己的营收慢慢扛。 有些人造谣说 Aave 有很大风险，但我认为 Aave 是能扛住这次损失的。虽然会非常肉痛，但应该还是扛得住。 ---分割线--- 我现在有两个感受： 第一个感受：我对跨链 DeFi 产生了前所未有的失望。 我认为跨链只能走官方桥，不能走第三方桥。这个领域太容易出问题了。 甚至我觉得，大额跨链都应该引入人工审核机制。比如说，10w 美金以下自动处理，超过 10w 美金就必须进入人工审核。 第二个感受是：在 DeFi 这个巨大的套娃里，责任与风险，其实并不对等。最吊诡的是，责任最大、闯祸最多的人，往往没有承担对应的财务损失。 目前钱还没进龙卷风，希望这件事最终能得到妥善解决吧。