共有 46 条记录
事件描述:游戏区块链 Ronin 疑似遭攻击,Ronin Bridge 项目出现异常提取跨链资产的行为。慢雾安全团队分析,漏洞原因是由于权重被修改为意外值,资金无需经过任何多重签名阈值检查即可提取。攻击者从桥中提取了约 4000 个 ETH 和 200 万 USDC,价值约 1200 万美元。截至 8 月 7 日,白帽归还了 1200 万美元的资产,并获得 50 万美元的漏洞赏金。
损失金额:$ 12,000,000攻击手法:合约漏洞
事件描述:比特币 DeFi 应用程序 ALEX Lab 的桥接服务遭到疑似私钥泄露攻击,导致其各种代币损失超过 430 万美元。黑客转移了价值超过 30 万美元的 BTC、价值 330 万美元的稳定币和价值 7.5 万美元的 Sugar Kingdom(SKO)代币。
损失金额:$ 4,300,000攻击手法:私钥泄露
事件描述:跨链桥 X Bridge 发生多笔可疑交易,且仍在进行。一个可疑地址通过 TornadoCash 在 BNBChain 上获得了资金,随后被桥接到ETH,然后将 0.15 枚ETH存入“OwnedUpgradeabilityProxy”。没过多久,该项目的“OwnedUpgradeabilityProxy”合约中,有 4.82 亿枚 STC 被提取出来,总价值为 82.4 万美元。
损失金额:$ 824,000攻击手法:未知
事件描述:跨链桥 Meson Finance 的推特账号发布了一条带有钓鱼链接的帖子。Meson Finance 于推特发文表示,已删除了相关内容,并确认问题源于第三方 API,而不是对帐户的直接攻击。
损失金额:-攻击手法:账号被黑
事件描述:L2 跨链桥 LayerSwap 的 http://layerswap[.]io 域名的 @GoDaddy 账号遭到了入侵。域名泄露导致出现了一个钓鱼网站,大约 50 位用户损失了价值约 10 万美元的资产。Layerswap 表示将全额退款给受影响的用户,并额外支付 10% 作为由此造成的不便的补偿。
损失金额:$ 100,000攻击手法:域名劫持
事件描述:宣传为以太坊网络和比特币之间的隐私桥梁的 OrdiZK 跑路,导致约 140 万美元的损失。
损失金额:$ 1,400,000攻击手法:跑路
事件描述:跨链桥协议 Orbit Chain 遭黑客攻击,损失 8,160 万美元。Orbit Chain 发推表示,团队已要求全球主要加密货币交易平台冻结被盗资产。
损失金额:$ 81,600,000攻击手法:未知
事件描述:LayerZero 在 Discord 上的一名管理员表示,一名诈骗者在 Stargate Snapshot 平台的提案投票中引入了网络钓鱼链接,诱使用户质押 STG 代币。超过 1000 名用户参与了投票,导致损失约 43,000 美元。
损失金额:$ 43,000攻击手法:钓鱼攻击
事件描述:OmniBTC 的 Discord 被黑,攻击者在公告频道中发布了一个钓鱼链接。
损失金额:-攻击手法:账号被黑
事件描述:据多位社区用户反映,Layer2 互操作性协议 Connext 空投申领环节疑似出现问题,有部分账户的 NEXT 代币被 claim 到非预期的地址。链上数据显示,0x44Af 开头地址在过去 1 小时内通过 230 个账号领取大量 Connext 代币 NEXT 空投,并全部卖出换成 ETH、USDT 与 USDC,收入近 39,000 美元。据慢雾分析,用户可以通过 NEXT Distributor 合约的 claimBySignature 函数领取 NEXT 代币。其中存在 recipient 与 beneficiary 角色,recipient 角色用于接收 claim 的 NEXT 代币,beneficiary 角色是有资格领取 NEXT 代币的地址,其在 Connext 协议公布空投资格时就已经确定。在用户进行 NEXT 代币 claim 时,合约会进行两次检查:一是检查 beneficiary 角色的签名,二是检查 beneficiary 角色是否有资格领取空投。在进行第一次检查时其会检查用户传入的 recipient 是否是由 beneficiary 角色进行签名,因此随意传入 recipient 地址在未经过 beneficiary 签名的情况下是无法通过检查的。如果指定一个 beneficiary 地址进行构造签名即使可以通过签名检查,但却无法通过第二个对空投领取资格的检查。空投领取资格检查是通过默克尔证明进行检查的,其证明应由 Connext 协议官方生成。因此没有资格领取空投的用户是无法绕过检查领取他人的空投的。9 月 7 日,Connext 发布事后分析,称攻击者对 Tokensoft 的 API 进行 DOS 操作,导致申领数据库和 UI 宕机。在此过程中,来自 253 个钱包(与 Connext 无关)的 274,956 枚 NEXT 被申领(占此次空投总量的 0.26%),并在普通用户能够申领之前以约 4 万 USDT 的价格出售。但 Connext 没有以任何方式受到损害。在 DOS 攻击结束后,空投申领恢复正常。
损失金额:$ 39,000攻击手法:Dos 攻击
事件描述:价值约 1.26 亿美元的代币已从 Fantom 网络上的 Multichain 桥上撤出,转移的代币包括价值 5800 万美元的稳定币 USDC、1020 枚 WBTC(约合 3090 万美元)、7,200 枚 WETH(约合 1370 万美元)和 400 万美元稳定币 DAI(上述四种代币价值已超 1 亿美元),这还包括 Chainlink、YFI、Wootrade Network 等其他代币以及 UniDex 总供应量的近四分之一。资产似乎也在 Multichain 的 Moonriver bridge上移动,其中包括 480 万枚 USDC 和 100 万枚 USDT。Dogechain 也出现了异常资金流动,至少 66 万枚 USDC 被发送到与 Moonriver 资金流动相同的钱包。Multichain 在推特上表示,“团队不确定发生了什么,目前正在调查”,并建议用户停止使用该服务并撤销合同批准。
损失金额:$ 126,000,000攻击手法:未知
事件描述:跨链互操作协议 Poly Network 再次遭受攻击,本次攻击导致 11 个区块链上的 58 种资产受到影响。据慢雾分析,Poly Network 黑客已获利价值超 1000 万美元的主流资产。攻击者在程序编译环境中植入木马病毒,从而获取Poly Network中继链的共识密钥。随后,他们利用这些密钥来伪造跨链交易。黑客在程序编译过程中植入木马代码块,在程序启动时获取并上传共识密钥。然后,他们使用这些密钥对伪造的 Poly Network 中继链的区块头进行签名,最终将伪造的跨链交易和区块头提交到目标链以执行跨链漏洞利用。
损失金额:$ 10,000,000攻击手法:木马病毒
事件描述:基于分片架构的区块链网络 Cellframe Network 疑似遭遇闪电贷攻击,攻击者获利 245 枚 BNB(约 7.4 万美元),代币 CELL 已下跌逾 65%。据 MistTrack 分析,以太坊上的攻击者地址(0x252...079)曾从 binance 提款 1.37 ETH。
损失金额:$ 74,000攻击手法:闪电贷攻击
事件描述:Multichain 推特发文称,虽然 Multichain 协议的大部分跨链路由运行正常,但由于不可抗力,部分跨链路由无法使用,恢复服务的时间未知。服务恢复后,待处理的交易将自动入账。Multichain 将对在此过程中受到影响的用户进行补偿,补偿方案将在后续公布。据多个社群用户此前反映,Multichain 跨链资金到账存在异常延迟。行情显示,Multichain 代币 MULTI 过去 24 小时下跌 24.1%,目前报 5.36 美元。
损失金额:-攻击手法:未知
事件描述:据 The Block 报道,跨链互操作性协议 Celer Network 周三报告称,它已修补由 Jump Crypto 首次发现的一个代码漏洞。在 Celer 和 Jump Crypto 发布的博客文章中,披露了 Celer 权益证明 (PoS) 区块链 State Guardian Network(SGN) 中的一个漏洞。如果被执行,该漏洞可能允许恶意验证节点提交大量欺诈性“投票”,从而导致网络状态改变。Celer 强调,漏洞没有造成任何资金损失。该漏洞无法公开访问,在发现时也没有资金面临直接风险。Celer 表示,由于该发现,它将提议为 Jump Crypto 提供漏洞赏金。
损失金额:-攻击手法:合约漏洞
事件描述:跨链交易平台 zkLink 的 Discord 服务器已被入侵,有黑客发布了网络钓鱼链接。在团队确认重获对服务器的控制之前,请勿点击任何链接。
损失金额:-攻击手法:Discord 被黑
事件描述:跨链桥 Allbridge 遭黑客攻击,损失约 57 万美元(包含约 28 万枚 BUSD 和约 29 万枚 USDT)。根本原因似乎是资金池的 Swap 价格被操纵。黑客扮演流动性提供者和交易者的双重角色,耗尽池中的资金。4 月 4 日,Allbridge 在推特表示:“0xC578 地址所有者联系了我们并退还了 1500 枚 BNB(约合 46.36 万美元),剩余的资金将被视为对此人的白帽赏金。
损失金额:$ 570,000攻击手法:价格操纵
事件描述:Multichain 的 AnyswapV4Router 合约遭遇抢跑攻击,攻击者获利约 87 个以太坊,约 13 万美元。经分析,攻击者利用 MEV 合约 (0xd050) 在正常的交易执行之前(用户授权了 WETH 但是还未进行转账)抢先调用了 AnyswapV4Router 合约的 anySwapOutUnderlyingWithPermit 函数进行签名授权转账,虽然函数利用了代币的 permit 签名校验,但是本次被盗的 WETH 却并没有相关签名校验函数,仅仅触发了一个 fallback 中的 deposit 函数。在后续的函数调用中攻击者就能够无需签名校验直接利用 safeTransferFrom 函数将 _underlying 地址授权给被攻击合约的 WETH 转移到攻击合约之中。
损失金额:$ 130,000攻击手法:抢跑攻击
事件描述:多链兑换协议 Rubic 遭到黑客攻击,损失超 140 万美元,攻击者已将 1100 枚 ETH 转入 Tornado Cash 混币协议。慢雾安全团队分析认为此次攻击的根本原因在于 Rubic 协议错误的将 USDC 代币添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 代币被窃取。
损失金额:$ 1,400,000攻击手法:数据传入错误
事件描述:一个 BNB Chain 上地址凭空铸造了超 10 亿美元的 pGALA 代币,并通过 PancakeSwap 售出获利,pGALA 合约黑客已获利 430 万美元。一 Smart Money 地址在此攻击事件中套利近 650 万美元,甚至超过了攻击者的利润。多链路由协议 pNetwork 发推表示,因跨链桥配置错误需要重新部署 BNB Chain 上的 pGALA 合约。Huobi Global 在提出将异常事件后买入的 GALA 将更名为 pGALA 的措施,且项目方同意对事故发生前的持币用户进行全额赔付后,宣布将重新上架 GALA。
损失金额:$ 10,800,000攻击手法:配置错误