TrustedVolumes 攻擊者於 5 月 11 日將 $278K 於被盜資金中轉移

法官解除 $71M 於 Kelp DAO 受損事件中自 ETH 轉出至 Aave 的限制，北韓債權人保留申索權

美國紐約南區聯邦地方法院法官 Margaret Garnett 於週五部分解除了自 5 月 1 日以來被凍結的 30,766 ETH，允許在鏈上治理投票中將該資產轉移至 Aave。該修改允許代表在不違反禁制通知的情況下啟動並對該交易進行投票。然而，若恐怖主義判決債權人最終在其主張中獲勝，認為該 ETH 符合《外國主權豁免法》（Foreign Sovereign Immunities Act）與《恐怖主義風險保險法》（Terrorism Risk Insurance Act）下的北韓財產，資金仍將受到凍結限制。Arbitrum 代表於週四投票批准釋放，182.2 百萬 ARB 代幣支持該提案，且約 91% 的投票權贊成。

南韓 FSI 啟動智慧合約安全性驗證工具，推進三個計畫

根據 Edaily，南韓金融安全院（FSI）今日宣布開發一款專用的智慧合約安全驗證工具，並推進三項主要計畫，包括打造智慧合約驗證系統以及培育數位資產人才。該驗證工具將自動偵測用於代幣證券、穩定幣以及其他數位資產服務的智慧合約中的主要弱點，重點鎖定高風險弱點類型，例如重入（reentrancy）攻擊、存取控制錯誤以及抵押品驗證不足。工具將持續更新符合南韓金融監管環境的客製化檢查標準。FSI 也將建立涵蓋整個智慧合約生命週期的驗證程序與標準，從開發到部署與營運，並為會員公司發布《智慧合約安全指南》。

Wagyu 開發者否認 XMR1 押資盤（Rug Pull），澄清透過終端機進行提款

根據 Foresight News，Wagyu 開發者 PerpetualCow 澄清，XMR1 代幣持有者可透過 Terminal 提款，而非使用先前的跨鏈 UI，否認近期 Rug Pull（拉地毯）指控。開發者表示，沒有使用者回報提款失敗，且交換介面已明確註明正確的提款方式。社群成員先前曾提出疑慮，認為 Wagyu 類似 Rug Pull，XMR 存入可能被鎖住，並出現 Honeypot（蜜罐）指標。XMR1 是由 Wagyu 在 Hyperliquid 發行的合成 XMR 代幣。

微軟：假冒 macOS 故障排除頁面部署 ClickFix，竊取加密錢包金鑰

微軟 Defender 指出，ClickFix 利用 Medium、Craft 等平台發布假故障排除指南，誘導用戶於 Terminal 執行惡意命令，繞過 Gatekeeper，惡意程式以記憶體中執行方式運作。涉及 Amos、Macsync、SHub Stealer 三大家族，竊取 Exodus、Ledger、Trezor 的錢包金鑰，以及 iCloud、Telegram、Chrome/Firefox 密碼與少量本機檔案，並可能替換合法應用。 Apple 已在 macOS 26.4 加強防護，阻止可疑命令貼入 Terminal。

叛徒 V1 Arbitrum 部署遭受攻擊，損失 209K 美元；白帽駭客歸還 190K 美元

根據 Renegade 於 X 上的官方聲明，該協議的傳統 V1 Arbitrum 部署在今早（5 月 11 日）遭到攻擊，造成約 209,000 美元的損失。一名白帽駭客已歸還約 190,000 美元，而團隊確認所有受影響的用戶都將獲得全額補償。 團隊確認，該漏洞僅存在於 V1 Arbitrum 部署；V1 Base、V2 Arbitrum 和 V2 Base 部署仍保持安全。所有支援 V1 Arbitrum 交易的基礎設施已暫停，從而消除了進一步的資金風險。