RetoSwap 是一家领先的专注于隐私的点对点去中心化交易所,通过 Tor 进行门罗币 ($XMR) 与法定货币和其他加密货币的交易,在底层 Haveno 协议中检测到新的安全漏洞后,该交易所已暂时停止所有交易。
今天 18:02 UTC,我们收到一份报告,称 Haveno 贸易协议正在被积极利用。该团队立即通过过滤功能将最低客户端版本设置为2.0.0来停止交易,并封禁了利用者洋葱地址。
- RetoSwap (@RetoSwap) 2026 年 6 月 16 日
RetoSwap团队于2026年6月16日UTC时间18:02(北京时间凌晨2:02)左右收到第一份报告。他们迅速做出反应,将最低客户端版本提升至2.0.0,将攻击者的洋葱地址(fg2lhfh…2qpad.onion)列入黑名单,并停止交易。在开发、测试和发布完整的安全补丁之前,交易将保持暂停。这是短时间内涉及 Haveno 协议的第二起重大事件。 2026 年 5 月中旬,攻击者在多重签名钱包创建过程中利用了 ACK 消息处理和仲裁员模拟中的缺陷,导致约 270 万美元(约 7,000 美元 XMR)被盗。损失主要限于大型加密货币交易,法币交易者基本上不受影响。
May Haveno 漏洞发生在加密货币行业损失扩大的一个月内。根据行业跟踪,仅 2026 年 5 月,加密项目就在 41 起安全事件中损失了超过 8400 万美元,这突显了去中心化生态系统中协议安全和风险管理面临的更广泛挑战。
6 月最新的漏洞利用针对的是争议解决和强制仲裁机制。根据社区更新和 Haveno 贡献者的说法,攻击者(作为买家)接受了购买报价,强制仲裁,并在比特币确认(大约 30 个区块)后成功释放了 $XMR,而没有发送相应的 BTC。值得注意的是,该事件在某些情况下似乎涉及看似合法的仲裁员地址,与 5 月的攻击向量不同。
该事件还发生在最近一系列影响去中心化金融平台的协议级漏洞之后。本月早些时候,Solv Protocol 因 Bro Vault 中的智能合约漏洞而遭受了 270 万美元的损失,这凸显了应用程序层和协议层的弱点如何继续给用户带来重大风险。
RetoSwap 确认其自身的基础设施并未遭到破坏。该漏洞完全存在于 Haveno 协议中。到目前为止,这一新事件的损失似乎有限,因为团队迅速采取了遏制措施。 Haveno 首席开发人员 woodser 表示:
伍德瑟
给用户的建议
立即撤销所有公开报价
检查并备份您的应用程序数据
在补丁部署之前避免任何进一步的交易
如果您的交易受到影响,请通过官方 SimpleX 群组(“与管理员聊天”)联系支持人员
RetoSwap 是 Haveno 协议的积极实施/分叉,提供完全非托管、基于 Tor 的 P2P 门罗币交易,具有 2-of-3 多重签名托管。 Haveno 本身起源于 Bisq 的一个分支,旨在提供强大的隐私和去中心化。然而,消息验证、地址处理和仲裁逻辑中反复出现的问题暴露了保护这些复杂的去中心化系统的挑战。
RetoSwap 和 Haveno 团队正在开发经过验证的安全补丁。预计只有在更新经过彻底测试并发布后才能恢复交易。该团队还在评估任何受影响用户的恢复选项,并计划发布详细的事后分析报告。这一接连发生的事件凸显了构建安全的点对点交易协议的现实困难,特别是对于像门罗币这样的高价值隐私资产。尽管在全球监管压力下,私人非托管交易的核心愿景仍然很重要,但这些事件强调了严格审计和快速社区响应的必要性。我们将继续监控官方补丁发布、损失估计以及团队的任何补偿细节。