共有 547 条记录
事件描述:据 Have I Been Pwned 报道,属于 CoinMarkerCap 的 310 万用户的电子邮件地址在上周被发现泄漏,CoinMarketCap 官方的回应是没有证据显示他们的服务器数据泄漏,但这次泄漏的数据的确和用户有关联。这批被泄漏的信息仅包含邮件地址,未包含密码,具体数量为 3117548 个。
损失金额:-攻击手法:数据泄露
事件描述:跨链 DeFi 协议 Alpha Finance Labs 表示历史上共有 20 个地址在使用杠杆挖矿协议 Alpha Homora V2 的时候,因为交易被 MEV 机器人发现而损失总共 40.93 ETH。Alpha Finance 表示将以 ALPHA 代币的形式全额赔偿这些损失。对于该问题,Alpha Finance 认为是 Uniswap V2 的智能合约有隐含假设(implicit assumptions),这些假设未在合约层面上明确说明,所以他们认为这会导致滑点未被检查。Alpha Finance 表示会修复该问题,在交易时进行检查,所以这些情况将不再发生。
损失金额:40.93 ETH攻击手法:三明治攻击
事件描述:Avalanche 生态稳定收益聚合协议 Avaterra Finance 遭到黑客攻击。安全公司 Rugdoc 分析称,该协议的合约是 Goose 分叉,但他们的代币包含了自定义元素,任何人都可以调用其铸币功能。最终黑客调用了该合约,并铸造倾销了数千个代币。
损失金额:-攻击手法:mint 函数无权限控制
事件描述:BSC 上 DeFi 协议 Pancake Hunny 遭到闪电贷攻击,HUNNY 代币短时下跌 70% 左右。黑客攻击的交易中包含了 513 笔转账,Gas 消耗达 1900 万,其中大量转账和 Alpaca 代币相关。
损失金额:-攻击手法:闪电贷攻击
事件描述:DeFi 协议 Glide Finance 发推称,合约漏洞被利用,资金从配对合约中被抽走,损失金额约为 30 万美元,漏洞原因为团队在审计后进行了费用参数更改,但未将合约上的数字从 1000 更新为 10000。目前团队正在联系交易所阻止资金转移,提醒在 Glide 流动性资金池中存放资金的用户提取资金。
损失金额:$300,000攻击手法:合约漏洞
事件描述:被动收益协议 Indexed Finance 遭到攻击,受影响的资金池包括 DEFI5 and CC10。漏洞被发现后触发了包括 DEGEN、NFTP、FFF (包含 DEFI5 and CC10)资金池的保护措施,并被冻结。约半个小时之前 Indexed Finance 官方表示已经确定了攻击根源,DEGEN、NFTP 两个指数代币资金池已经恢复正常运行,而 FFF 池目前仍处于冻结状态。官方在 Discord 中表示,本次攻击造成的损失约 1600 万美元。
损失金额:$16,000,000攻击手法:定价机制问题
事件描述:Sophos 发布的报告称,加密欺诈应用 CryptoRom 通过利用“超级签名服务”及苹果开发者企业计划窃取 140 万美元。据悉,欺诈者通过 Facebook 和约会平台(如 Tinder、Grindr、Bumble 等)获得受害者的信任,然后引诱他们安装虚假的加密货币应用程序 CryptoRom 并进行投资。受害者安装应用程序、投资、获利,并被允许提取资金。受到鼓励后被迫进行更多投资,但是一旦存入较大金额,他们就无法再提现。迄今为止,与该骗局相关的比特币地址已发送超过 139 万美元,并且可能还有更多地址与该骗局有关。报告称,大多数受害者是 iPhone 用户。该报告称,CryptoRom 绕过 App Store 的所有安全检查,并且每天都保持活跃。报告还表示,苹果“应该就通过临时分发或通过企业配置系统安装应用程序警告用户,这些应用程序未经苹果审查。”
损失金额:$ 1,400,000攻击手法:骗局
事件描述:据消息,安全研究公司发现 NFT 市场 OpenSea 存在一个很严重的安全漏洞,可能会导致黑客窃取用户的整个加密钱包。随后 OpenSea 回应道,在发现该问题的一小时内已经实施了修复,将采取其他措施加强社区安全教育。
损失金额:-攻击手法:XSS
事件描述:量化交易公司 mgnr 在推特上表示 StarkWare 存在紧急的安全问题,但未公开具体的细节,StarkWare 团队的生态负责人 Louis Guthmann 证实的确存在问题,「这不是 dYdX 上的安全漏洞,(这次的问题)只和一个特定的用户相关。」mgnr 称已经联系上 StarkWare 和 Solana 团队。
损失金额:-攻击手法:未知
事件描述:质押流动性解决方案 Lido Finance 通过 Lido 漏洞赏金计划发现了一个漏洞,该漏洞能被列入白名单的节点运营商利用,以窃取一小部分用户资金。漏洞报告时大约有 2 万枚 ETH 暴露在风险之中,目前团队已经采取了短期的补救措施,同时正在讨论和研究长期的解决方案。本次报告漏洞的白帽子是 StakeWise 的创始人 Dmitri Tsumak,预计其将获得漏洞赏金计划的最高赏金额 10 万美元。
损失金额:-攻击手法:漏洞
事件描述:NFT 项目 Evolved Apes 官方 Twitter 帐户和网站、该项目开发人员 “Evil Ape” 上周消失,另外还带走了 798 个 ETH,价值 270 万美元。
损失金额:798 ETH攻击手法:骗局
事件描述:My Farm Pet 疑遭闪电贷攻击,今日跌幅达 79.86%。
损失金额:$ 31,424攻击手法:闪电贷攻击
事件描述:由 Blockstream 推出的比特币侧链 Liquid Network 在近期的升级后遭遇区块签名相关的问题,导致超过 7 小时未生成区块。据 Liquid Network 的区块浏览器显示,最后一个区块为 1517039,生成时间为 7 个小时前。Liquid Network 在推特上表示,「正在调查一个与最近功能升级相关的区块签名问题,但用户资金是安全的,不受影响。」
损失金额:-攻击手法:区块签名问题
事件描述:就在去中心化借贷协议 Compound 试图通过 63 号或 64 号社区提案修补流动性挖矿代币分发合约含有的漏洞的同时,另外一笔价值 6880 万美元的 COMP 代币(共计 202472 枚 COMP)因为 drip() 函数的调用而被打入了已经存在漏洞的流动性挖矿代币分发合约。
损失金额:$ 68,800,000攻击手法:合约漏洞
事件描述:币安智能链上 DeFi 协议 AutoShark Finance 遭到闪电贷攻击,主要原因是兑换挖矿功能在一系列交易中被黑客利用,黑客可以使用闪电贷占据矿池的大部分份额 (以弥补交换损失 / 费用),同时获得兑换费用奖励,共获利 318 万 FINS。之后黑客将 FINS 兑换为 1388 枚 BNB (约合 58 万美元)。
损失金额:3,180,000 FINS攻击手法:闪电贷攻击
事件描述:根据 Coinbase 向加利福尼亚州检察长办公室提交给受影响客户的一封通知函,允许黑客绕过 Coinbase 的多因素身份验证 SMS 选项的漏洞已经影响了 Coinbase 至少 6000 名用户,在 2021 年 3 月至 5 月 20 日期间,黑客利用该漏掉访问受影响用户账户并将用户资金从 Coinbase 转出。Coinbase 在得知此问题后,立即更新了其 SMS 账户恢复协议以防止黑客进一步绕过该身份验证过程。另外,Coinbase 将向受影响用户账户存入同等价值的资金。Coinbase 还一直与执法部门密切合作,并正在对此事件进行内部调查。
损失金额:-攻击手法:允许绕过 Coinbase 的多因素身份验证 SMS 选项的漏洞
事件描述:出勤证明徽章协议 POAP 表示,其铸币系统在 9 月 29 日遭到黑客攻击,XCOPY 和 Polygonal Mind 的几个 POAP 被欺诈性发行和出售。POAP 应艺术家要求已烧毁相关 NFT,并将赔偿受损各方。
损失金额:-攻击手法:铸币系统遭攻击
事件描述:去中心化借贷协议 Compound 通过推特确认,在执行 062 号提案后,该协议的流动性挖矿出现 COMP 代币分发异常情况,Compound Labs 和社区成员正在进行调查 。Compound 表示,存款和借款资金目前未发现存在风险。Compound 创始人 Robert Leshner 表示,出现的问题看起来是根据 062 号提案进行 COMP 代币分发的速率初始设定出错,导致过多(too much) COMP 代币被分发;但是,修改相应代码必须通过治理,最少需要 7 天。
损失金额:$ 80,000,000攻击手法:代币分发的速率初始设定出错
事件描述:非托管交易所 DeversiFi 针对此前包含 7676.62 ETH 的 Gas 费用的交易发布事后分析报告称,EthereumJS 库中的潜在问题在某些情况下与 EIP-1559 升级相关的 Gas 费用变化结合,以及 Ledger 硬件钱包可能存在的显示问题,可能导致交易费用极高,当发生这种情况时,只有资金量非常大的钱包才会受到影响,其他用户在交易时则会显示交易失败。另外,Bitfinex 在与矿工协商后,矿工已归还 7626 枚 ETH,剩余 50 ETH 提供给矿工作为退款费用。此前报道,Bitfinex 交易所的一个主要钱包以总计 7676.62 ETH (约合 2354 万美元)的 Gas 费用进行了一笔 10 万美元 USDT 的转账,最终的接收方为 2019 年从 Bitfinex 分拆出来的非托管交易所 DeversiFi。
损失金额:50.62 ETH攻击手法:处理固定精度和扩展数值范围的库存在缺陷
事件描述:Bitcoin.org 网站出现回馈社区的活动,疑似网站被黑。网站主页显示一比特币地址,并说明任何向此地址付款的前 1 万名用户都将收到双倍金额作为回报。Bitcoin.org 网站共同所有者 Cobra 发推称:Bitcoin.org 遭到黑客攻击,正在调查黑客如何在网站上设置诈骗模式,预计会暂停运营几天。
损失金额:-攻击手法:钓鱼攻击