2026 年 6 月 1 日,专注加密安全的第三方机构 CertiK 发布 2026 年 5 月加密平台安全月报。据其统计,5 月各类攻击与漏洞造成的总损失约为 6830 万美元,而 4 月这一数字约为 6.5 亿美元,单月损失在经历年内峰值后环比回落约 90%,成为今年第三个损失低于 1 亿美元的月份。尽管整体安全数据明显降温,报告同时指出,当月仍出现如 Verus Protocol 跨链桥被盗约 1150 万美元等典型事件,显示链上攻击并未消失,风险水平只是从极端阶段性高位回落至相对“可控”区间,行业对安全基础设施与应急处置能力的依赖仍在持续加深。
从6.5亿到6830万:断崖式降幅背后
从数据本身看,2026 年 4 月约 6.5 亿美元的损失抬高了全年曲线的“峰值”,而 5 月迅速回落至约 6830 万美元,仅为前一个月的约十分之一,构成了极为鲜明的断崖式对比。CertiK 的月度统计显示,这是今年第三次单月损失低于 1 亿美元,说明在极端事件之外,行业并非长期处于“6 亿级”损失常态,单月数据对个别大额攻击事件高度敏感,一次大型攻击就足以拉高整月区间。
然而,从 6.5 亿骤降至 6830 万并不意味着安全水平已经得到结构性改善,更可能是“极端高位回归到既有低位区间”。既然此前已经出现过两个月低于 1 亿美元的表现,那么 5 月更像是回到这种相对低损失状态,而不是开启一个全新的安全阶段。当前证据仅限于几个月度截面,尚不足以推断风险长期下行,行业是否真正走出高风险周期,仍需观察后续月份的持续表现。
代码漏洞吞走三分之二损失
从结构上看,5 月损失的主因依旧集中在代码层面。据 CertiK 报告,2026 年 5 月因代码漏洞造成的损失约为 4500 万美元,占当月约 6830 万美元总损失的约 66%。这意味着在攻击类型细分中,与代码直接相关的问题仍然位居首位,安全事件的主要压力点依旧停留在合约逻辑、协议实现等底层环节,协议层的薄弱点并未因为单月总额回落而自然消失。
对比之下,传统社工手法的影响明显弱于代码问题。5 月钓鱼攻击造成的损失约为 260 万美元,规模远低于代码漏洞,但两者合计已覆盖了当月损失的重要部分。损失结构的这种“头重脚轻”格局,说明当前风险重心更多集中在合约与协议实现层,而非单纯的用户端防护缺口,这也意味着在当前阶段,任何声称整体风险显著下降的判断都必须首先回答一个问题:协议层面的代码安全是否已经得到结构性增强。
Verus Protocol 跨链被盗1150万
据 CertiK 统计,5 月单笔损失规模最大的事件来自 Verus Protocol 跨链桥,被盗资金约 1150 万美元。以当月总损失约 6830 万美元计,这一单起攻击就占去了逾六分之一的规模,被 CertiK 直接标注为 5 月损失金额最高的个案。与前文所述以代码漏洞为主的“长尾”事件不同,这类集中于跨链基础设施的攻击,往往在一笔交易路径、一个合约组件被攻破后,就能在极短时间内放大为整个月度数据中的决定性变量。
从风险结构的角度看,Verus Protocol 这一案例说明,即便行业整体损失在 5 月明显回落,跨链桥这类承载多链资产的基础设施仍然是黑客重点瞄准的高价值目标。一旦跨链桥控制权或验证逻辑被突破,损失不再是数十万、数百万级别的“噪音”,而会迅速抬升为月度报表中的主导项,这使得跨链桥安全在当前风险结构中仍然是不能被简单以“损失回落”而忽略的核心变量。
追回940万:应急响应正在发挥作用
从结果来看,5 月并不是“血本无归”的月份。根据 CertiK 数据,2026 年 5 月期间约有 940 万美元被追回或返还,占当月约 6830 万美元总损失的 13.8%。这一比例被单独列入报告,说明业界已经把“能追回多少”作为衡量安全体系成效的独立指标,而不仅仅盯着损失额本身。换言之,除了事前防护,事后如何在链上冻结、追踪、谈判乃至推动资金回流,正在成为安全团队日常工作的重要一环。
但这 13.8% 也从反面揭示现实的残酷:仍有超过八成的被盗资金未能找回。CertiK 指出的追回案例,往往依赖几个共通条件——项目方对异常资金流的快速监控与告警、在攻击发生后第一时间启动应急预案,与攻击者展开沟通谈判,或引入第三方安全机构协助确认路径、推动返还。这些动作本质上要求项目在监控体系、权限管理和决策流程上已经预先搭建好“战时机制”。然而在现阶段,即使应急响应正在发挥作用、部分损失得以挽回,整体数据仍然提醒行业:事后追责和追偿只能降低边际损失,真正决定损失上限的,依然是事前的架构安全与代码质量。
安全数据降温但风险焦点未变
从数据上看,2026 年 5 月总损失约 6830 万美元,相较 4 月约 6.5 亿美元的峰值环比降幅接近 90%,且成为年内第三个损失低于 1 亿美元的月份,表层上是一份“降温”的安全成绩单。但结构拆开看,约 4500 万美元、占比约 66% 仍然来源于代码漏洞,最大单笔事件依旧是 Verus Protocol 跨链桥被盗约 1150 万美元,这说明真正主导尾部风险的,仍是合约逻辑与跨链桥等基础设施环节,而不是长尾小额攻击。与此同时,约 940 万美元被追回或返还,占当月损失约 13.8%,提示项目方在应急响应上已有一定进步,却并未改变“只要核心代码与桥接架构存在缺陷,就可能放大单点故障”的基本格局。对项目方而言,下一步的重点仍是把合约审计、形式化验证和升级流程做深做细,把潜在漏洞挡在链上前;对投资者和普通用户而言,则需要在解读这份月度报告时持续跟踪两类变量:一是此后各月总体损失能否维持在当前这种相对低位区间,二是跨链桥与核心合约是否还会出现类似 Verus Protocol 这样的重大安全事件,因为只有在这两个维度上同时保持“平静”,当前的回落数据才能被视为安全态势真正改善的信号。
加入我们的社区,一起来讨论,一起变得更强吧!
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
