用户在授权未验证合约后于 yvWETH 中损失约 $1M

Slow Mist 检测到 EIP-7702 被利用：QNT 储备池损失 1,988.5 QNT (~$54.93M 的 ETH)

Gate News 消息，4月29日——Slow Mist 检测到一笔恶意交易，利用了 EIP-7702 账户中的漏洞，导致从一个 QNT 储备池中损失了 1,988.5 QNT (约 54.93 ETH)。 该漏洞源于储备池访问控制中的结构性缺陷

CertiK 报告：AML 罚款 9 亿美元，SEC 加密执法年跌 97%

根据区块链安全审计机构 CertiK 于 4 月 28 日发布的报告，反洗钱（AML）执法已取代证券违规认定，成为加密公司面临的首要监管威胁。报告显示，美国司法部和金融犯罪执法网络（FinCEN）在 2025 年上半年共开出 9 亿美元的 AML 相关罚款；同期，美国证券交易委员会（SEC）加密资产罚款年跌 97%。

印度 I4C 发布警示：Trust Wallet 假验证链接诈骗案件激增

根据印度网络犯罪协调中心（I4C）于 4 月 28 日发布官方警示，针对 Trust Wallet 用户的“钱包窃取”诈骗案件持续增加，攻击者通过伪造“加密资产验证”步骤诱骗用户向恶意智能合约授予钱包权限，资金随即被自动化脚本转出。I4C 表示，上述诈骗案件的增长趋势，源于国家网络犯罪举报入口网站收到的投诉数量激增。

香港金管局警告：HKDAP 及 HSBC 代币非持牌稳定币发行人

香港金融管理局（HKMA）于4月28日发布官方公告，指出市场上出现使用“HKDAP”或“HSBC”为代号的代币，上述代币并非由持牌稳定币发行人发行，亦与相关持牌发行人无任何关联。根据HKMA同日公告，两名持牌稳定币发行人——碇点金融科技有限公司及香港上海汇丰银行有限公司——均已声明未发行任何受监管稳定币。

Polymarket 数据泄露曝光超过 300K 条记录，威胁行为者发布利用工具

Gate 新闻消息，4 月 29 日——去中心化预测市场平台 Polymarket 似乎遭遇了数据泄露，威胁行为者 xorcat 在已知的网络犯罪论坛上发布了超过 300,000 条数据记录以及配套的利用工具。根据报道，攻击者利用了 Polymarket 的 Gamma 和 CLOB API 中未披露的 API 端点、分页绕过以及 CORS 配置错误来提取数据。 泄露的数据包括 10,000 名用户的完整个人信息 姓名、代理钱包以及基础地址、4,111 条评论、1,000 条举报记录 其中包含 58 个 ETH 地址以及管理员身份验证标识、48,536 条 Gamma 市场元数据条目、超过 250,000 个活跃 CLOB 市场自动做市商地址，以及 9,000 个关注者社交图谱数据点。 利用工具包包含多个漏洞的概念验证代码：CVE-2025-62718 Axios NO_PROXY 绕过，CVSS 9.9，可实现服务器端请求伪造，CVE-2024-51479 Next.js 中间件身份验证绕过，CVSS 7.5，以及 CORS 配置错误。该软件包还包含自动化的数据提取脚本以及完整的红队评估报告。

Believe 创始人 Ben Pasternak 被指控通过 Launchcoin 迁移套取 $54M 百万美元费用

Gate 新闻消息，4月29日——据 ChainCatcher 报道，一起集体诉讼指控，Believe 的创始人 Ben Pasternak 通过 Launchcoin 的迁移流程提取了 $54 百万美元的费用。诉讼称，此次迁移包含为期两周的窗口期，导致代币持有人被稀释，同时未在截止日期前迁移的代币将被永久销毁。