近期有攻击者利用 WordPress 插件漏洞攻击正常的站点，然后在站点中注入恶意的 js 代码，发起水坑攻击，在用户访问站点时弹出恶意弹窗，骗取用户执行恶意的代码或进行 Web3 钱包签名，从而盗取用户的资产。建议有使用 WordPress 插件的站点注意排查是否存在漏洞，及时更新插件，避免被攻击；用户在访问任何站点的时候，要仔细识别下载的程序以及 Web3 签名的内容，避免下载到恶意程序或因授权了恶意的签名导致资产被盗。

据Certik监测，其发现未经验证的Ember Sword NFT拍卖合约漏洞，已从159名批准该合约的受害者那里获利60 WETH（约19.5万美元）。Certik提醒用户撤销对Polygon上相关合约的批准。

BlockSec Phalcon在X平台表示，位于BSC链上的未知合约和位于Polygon链上Ember Sword项目合约存在可疑交易，请立即撤销对BSC链上0x389开头合约地址和Polygon链上的0x6f7开头合约地址。

zkSync生态借贷平台xBank Finance疑似RUG，协议TVL接近归零。项目官方推特账号已被冻结。

慢雾与Imtoken合作，揭露了一种利用离线交易并使用USDT的新加密货币骗局，诈骗者操纵以太坊RPC来伪造受害者钱包中的USDT余额。骗子诱骗受害者将他们的以太坊RPC URL更改为他们控制的URL，让受害者看起来像是存入了USDT资金，结果却让受害者在尝试交易时空手而归。此外，该骗局还通过小额转账欺骗用户以获得信任，然后操纵账户余额和合约信息，给毫无戒心的用户带来严重风险，并与更广泛的生猪屠宰骗局活动有关。

跨链借贷协议Pike Finance官方在社交媒体上发文表示，Pike Beta测试版上的USDC矿池于北京时间4月26日8:13被黑客攻击，被盗299,127枚USDC。 本次事件的根本原因是伪造的 CCTP 消息导致以太坊、Arbitrum 和 Optimism 链上的 USDC 被耗尽，Base 链上的 USDC 及其他资产不受影响，目前团队已暂时停止了协议功能，正在与两个审计合作伙伴合作解决该漏洞，并提出一项确保所有受影响用户很快恢复的计划。

萨尔瓦多官方加密货币钱包 Chivo Wallet 否认了有关其软件源代码和与 KYC 程序相关的 500 多万用户数据遭到黑客攻击的报道。该钱包的管理部门澄清道，其数据安全性没有受到损害，泄露数据并非来自他们的系统。此外，Chivo 表示，唯一泄露的文件来自一台于 2023 年 3 月 21 日被盗的 Chivo ATM 机。这些文件包含的信息与 ATM 机的操作严格相关，不包括任何个人用户数据。（fFnance Feeds）此前 4 月初消息，据黑客称，自上周六以来，超过 500 万萨尔瓦多人的个人信息遭泄露，成为该国历史上最严重的数据安全事件。被盗信息包括姓名、生日、电话、地址等，甚至高清无水印的头像也一并曝光。这一泄露牵涉到绝大多数萨尔瓦多成年人。泄露数据从 8 月起以 250 美元售价在暗网流通，但据称黑客未能收到赎金，因此决定免费发布数据。

YIEDL在X平台上发布黑客攻击的更新说明，YIEDL称， a.黑客攻击了Bsc上的新Y-Bull金库，价值约30万美元； b. 所有SC在发布之前都经过了广泛的第三方审计和测试，但是攻击者利用了BSC集成SC中的一个漏洞，该漏洞允许赎回小额资金；这已通过自定义恶意SC多次完成；不幸的是，该漏洞在审计阶段没有被发现； c. 我们正在跟踪流向目的地钱包的被盗资金流，并正在寻找部分/全部恢复的方案； d. 已向新加坡当局报告该事件； e. 攻击者的一个钱包收到了来自 0x975d9B开头地址的资金，多个安全团队向我们强调该地址属于ChangeNow加密货币交易所，我们与他们取得了联系，以获取攻击者的详细信息。 昨日据PeckShield监测，YIEDL（AI驱动的Vaults项目）遭到攻击，损失约16万美元。

据社区成员反馈，Merlin Chain 官方 Discord 疑似被黑，某管理账户发布带有钓鱼链接的通知内容。Odaily 提醒用户注意资产安全。

Alliance of 314发文称，某314项目方合约未于区块链开源，至于其他平台是否开源，这里有一个误区，其他平台的开源都是自行提交，并不意味这就是链上所部署合约，所以是否有隐藏增发未知。另某314项目表示即将上线交易所，登陆中心化交易所第一点要求即为合约开源，而开源对于任何项目方来说都是保证投资者信心的第一件事，参考之前的0.1,0.5,0.9版本开源，由此断定X314合约内存在隐藏代码，故而不敢开源。 最大风险提示：经过ethervm反编译查询，高度怀疑某314有隐藏增发开关用以增加矿池产出及套利。字段如下：0x40c10f19mint(address,uint256)请广大开发者验证。一般普通开发者并不会设置此项开关，该风险警戒级别为最高等级