GoPlus：警惕朝鮮黑客發布的26個惡意軟件包，可遠程下載並執行木馬

Zondacrypto 交易所遇 3.5 億美元挪用指控，執行長公開否認

波蘭最大加密貨幣交易所之一 Zondacrypto 的執行長普熱米斯瓦夫·克拉爾（Przemysław Kral）於 4 月 16 日在社群媒體上公開聲明，該交易所無法存取一個持有 4,503 枚比特幣的錢包，現值逾 3.5 億美元。克拉爾公布了涉事錢包地址以否認挪用指控，但此一披露隨即引發大規模提現。

Bitwarden CLI 惡意 npm 包曝光，加密錢包面臨竊取風險

慢霧首席資訊安全長 23pds 轉發 Bitwarden 安全團隊警告，Bitwarden CLI 2026.4.0 版本曾於 4 月 22 日美東時間下午 5:57 至 7:30 的 1.5 小時內，通過 npm 發布惡意包被篡改的 npm 版本已被撤回，Bitwarden 官方確認密碼金庫數據和生產系統未受影響。

摩根大通：KelpDAO 漏洞抹去 200 億 DeFi TVL，機構吸引力受損

由分析師 Nikolaos Panigirtzoglou 領銜的摩根大通研究團隊，於 4 月 23 日發布報告指出，持續存在的安全漏洞與停滯不前的總鎖定價值（TVL）正在削弱去中心化金融（DeFi）對機構投資者的吸引力。報告強調，KelpDAO 漏洞在數日內抹去約 200 億美元的 DeFi TVL，暴露出結構性風險。

慢霧預警：北韓黑客組織招聘誘騙 Web3 開發者，3 個月竊 1200 萬

安全機構慢霧發布緊急預警，北韓 Lazarus 組織旗下子組織 HexagonalRodent 正針對 Web3 開發者發動攻擊，透過高薪遠程崗位等社交工程手段，誘導開發者執行包含惡意軟件後門的技能評估代碼，最終竊取加密資產。根據 Expel 調查報告，2026 年前三個月，損失金額達 1,200 萬美元。

CoW DAO 提議補償 cow.fi 域名劫持受害者，最高 100% 賠付損失

CoW DAO 於 4 月 23 日在治理論壇發布補償提案（CIP），提議設立酌情補助計劃，為 4 月 14 日 cow.fi 域名劫持事件的受害者提供最高 100% 的損失補償。事件估計造成用戶損失約 120 萬美元 USDC，CoW DAO 強調，補償屬於自願發放的特惠性質，不代表承認任何法律責任。

CryptoQuant：KelpDAO 漏洞引爆 2024 年來最嚴重危機，Aave TVL 暴跌 33%

根據 CryptoQuant 於 4 月 23 日評估，上週發生的 KelpDAO 漏洞攻擊，在 72 小時內使 Aave 面臨 1.24 億至 2.3 億美元的潛在壞帳風險，TVL 暴跌 33%，USDT 和 USDC 借款利率從 3.4% 飆升至 14%，ETH 借款利率升至 2024 年 1 月來最高水準 8%。